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人 用 二 


信息 安全 等 级 保护 是 我 国 实现 国家 信息 安全 的 基本 制度 ,1994 年 国务 
院 147 号 令 中 就 已 规定 信息 系统 安全 实行 等 级 保护 制度 ,并 明确 指出 由 公安 
部 会 同 有 关 部 门 制 定 等 级 保护 管理 办 法 和 标准 ;1999 年 国家 发 布 了 等 级 保 
护 强制 性 国家 标准 GB 17859 一 1999《 计 算 机 信息 系统 安全 保护 等 级 划分 准 
则 》( 以 下 简称 GB 17859 一 1999), 此 后 ,50 多 个 配套 标准 相继 发 布 ,并 已 形成 
标准 体系 。 这 些 标 准 的 制定 ,为 信息 安全 等 级 保护 制度 的 实施 打下 了 坚实 的 
技术 基础 。2003 年 27 号 文件 则 进一步 明确 规定 国家 实施 信息 安全 等 级 保 
护 制度 ,此 后 公安 部 等 四 部 委 联 合 相继 发 布 了 66 号 和 43 号 文件 ,规定 了 等 
级 保护 系列 政策 和 管理 办 法 。 

2007 年 7 月 ,公安 部 .国务院 信息 办 等 四 部 门 联合 召开 全 国 重 要 信息 系 
统 等 级 保护 定 级 工作 会 议 ,标志 着 等 级 保护 制度 在 全 国 范围 内 全 面 展 开 , 目 
前 全 国 重要 信息 系统 定 级 工作 已 基本 完成 。 下 一 阶段 的 工作 将 对 已 确定 安 
全 等 级 的 信息 系统 依据 相关 标准 要 求 进行 安全 建设 。 此 工作 将 涉及 大 量 的 
关键 技术 实现 难题 。 因 此 ,深入 开展 信息 系统 等 级 保护 安全 体系 结构 及 关键 
技术 的 研究 ,进行 理论 攻关 工程 实践 与 标准 制定 ,是 即将 开展 的 信息 系统 等 
级 保护 安全 建设 整改 工作 的 迫切 现实 需要 ,也 是 国家 信息 安全 等 级 保护 制度 
长 期 实施 所 不 可 缺少 的 技术 支持 。 本 书 中 所 介绍 的 信息 系统 等 级 保护 安全 
体系 结构 、 关 键 技术 、 等 级 保护 模拟 平台 、 信 息 系统 等 级 保护 安全 建设 方案 以 
及 应 用 案例 对 提高 我 国 重要 信息 系统 和 关键 基础 设施 的 安全 性 有 重要 作用 ， 
将 为 各 行业 信息 系统 等 级 保护 的 安全 建设 提供 示范 与 参考 ,也 将 为 普遍 开展 
的 信息 系统 等 级 保护 安全 建设 提供 指导 。 

国家 标准 《信息 安全 技术 ”信息 系统 等 级 保护 安全 设计 技术 要 求 ) 是 根据 
我 国信 息 安全 等 级 保护 的 实际 需要 ,按照 信息 安全 等 级 保护 对 信息 系统 安全 整 
改 的 要 求 制定 的 ,对 信息 系统 等 级 保护 安全 整改 阶段 技术 方案 的 设计 具有 指导 
和 参考 意义 ,本 书 对 该 标准 进行 了 详细 的 解读 ,以 帮助 读者 学 习 和 理解 该 标准 ， 
并 推进 该 标准 的 贯彻 与 实施 。 本 书 还 从 系统 的 安全 功能 和 总 体 结构 、 实 现 方案 
和 设备 类 型 .安全 计算 环境 子 系统 设计 和 实现 .安全 区 域 边界 子 系统 设计 和 实 
现 、 安 全 通信 网 络 子 系统 设计 和 实现 、 安 全 管理 子 系统 设计 和 实现 审计 子 系统 
设计 和 实现 以 及 典型 应 用 子 系统 设计 和 实现 几 个 方面 对 二 、 三 、 四 级 信息 系统 
的 设计 和 实现 进行 了 深入 的 阐述 ,并 给 出 了 各 级 信息 系统 示范 环境 的 功能 使 用 


信息 系统 等 级 保护 安全 设计 技术 实现 与 使 用 


演示 。 本 书 还 给 出 了 二 三、 四 级 安全 应 用 平台 功能 符合 性 检验 工具 集 和 信息 安全 风险 评估 
工具 的 设计 与 实现 。 本 书 从 理论 到 实践 为 读者 提供 相关 的 知识 。 
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《信息 系统 等 级 保护 安全 
设计 技术 要 求 》 标 准 解读 


1.1.1 编制 背景 


【标准 条 款 】 
GB/T 24856 一 2009 


引 言 


《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》( 国 务 院 令 第 147 号 ?明确 规定 我 国 “ 计 算 机 
信息 系统 实行 安全 等 级 保护 ” 依据 国务 院 147 号 令 要 求 制定 发 布 的 强制 性 国家 标准 《计算 机 信息 
系统 安全 保护 等 级 划分 准则 》(GB 17859 一 1999) 为 计算 机 信息 系统 安全 保护 等 级 的 划分 商定 了 技 
术 基 础 。《 国 家 信息 化 领导 小 组 关于 加 强 信息 安全 保障 工作 的 意见 兴 中 办 发 L[2003]27 号 ) 明 确 指出 
实行 信息 安全 等 级 保护 ,“ 要 重点 保护 基础 信息 网 络 和 关系 国家 安全 ,经 济 命脉 社会 稳定 等 方面 的 
重要 信息 系统 ,抓紧 建立 信息 安全 等 级 保护 制度 "。《 关 于 信息 安全 等 级 保护 工作 的 实施 意见 光 公 
通 字 [2004]66 号 ) 和 《信息 安全 等 级 保护 管理 办 法 兴 公 通 字 [2007]43 号 ?确定 了 实施 信息 安全 等 级 
保护 制度 的 原则 、 工 作 职 责 划 分 、 实 施 要 求 和 实施 计划 ,明确 了 开展 信息 安全 等 级 保护 工作 的 基本 
内 容 、 工 作 流 程 、 工 作 方 法 等 。 

上 述 信息 安全 等 级 保护 相关 法 规 、 政 策 文件 .国家 标准 和 公共 安全 行业 标准 的 出 台 ,为 信息 安 
全 等 级 保护 工作 的 开展 提供 了 法 律 .政策 ,标准 依据 。 

2007 年 7 月 ,全 国 开展 重要 信息 系统 等 级 保护 定 级 工作 ,标志 着 信息 安全 等 级 保护 工作 在 我 国 
全 面 展开 。 在 开展 信息 安全 等 级 保护 定 级 和 备案 工作 基础 上 ,各 单位 ` 各 部 门 正 在 按照 信息 安全 等 
级 保护 的 有 关 政 策 规定 和 技术 标准 规范 ,开展 信息 系统 安全 建设 和 加 固 工作 ,建立 \ 健 全 信息 安全 
管理 制度 ,落实 安全 保护 技术 措施 ,全 面 贯 彻 落实 信息 安全 等 级 保护 制度 。 为 了 配合 信息 系统 安全 
建设 和 加 固 工作 ,特制 定 本 标准 。 

本 标准 规范 了 信息 系统 等 级 保护 安全 设计 技术 要 求 ,包括 第 一 级 至 第 五 级 系统 安全 保护 环境 
的 安全 计算 环境 ,安全 区 域 边界 ,安全 通信 网 络 和 安全 管理 中 心 等 方面 的 设计 技术 要 求 , 以 及 定 级 
系统 互联 的 设计 技术 要 求 。 涉 及 物理 安全 、 安 全 管理 ,安全 运 维 等 方面 的 要 求 分 别 参见 参考 文献 
[9]、[2]、[7]、[10] 下 等。 进行 安全 技术 设计 时 ,要 根据 信息 系统 定 级 情况 ,确定 相应 安全 策略 ,采取 


@ ”此 处 提 到 的 参考 文献 为 : [9]GB/T 21052 一 2007《 信 息 安全 与 技术 信息 系统 物理 安全 技术 要 求 》， 
[2JGB/T 20269 一 2006《 信 息 安全 技术 信息 系统 安全 管理 要 求 》,[7]GB/T 20282 一 2006《 信 息 安 全 技术 信息 系统 
安全 工程 管理 要 求 》,[10]GB/T 22239 一 2008《 信 息 安全 技术 信息 系统 安全 等 级 保护 基本 要 求 》。 


第 工 章 《信息 系统 等 级 保护 安全 设计 技术 有 要求) 标准 解读 


相应 级 别 的 安全 保护 措施 。 
在 第 五 章 至 第 九 章 中 ,每 一 级 系统 安全 保护 环境 设计 比较 低 一 级 的 系统 安全 保护 环境 设计 所 
增加 和 增强 的 部 分 ,用 “黑体 ”表示 。 


【条 款 解 读 1】 

一 、 目 的 和 意图 

简要 阐述 标准 编制 的 基本 依据 和 背景 情况 。 

二 、 解释 和 示例 

国务 院 1994 年 2 月 14 日 发 布 的 147 号 令 《 中 华人 民 共 和 国 计 算 机 信息 系统 安全 保 
护 条 例 》( 以 下 简称 《条 例 》) 是 我 国 最 早 提 出 的 对 计算 机 信息 系统 实行 安全 等 级 保护 的 法 
规 性 文件 。 《条例 》 明 确 规定 ,我 国 “ 计 算 机 信息 系统 实行 安全 等 级 保护 。 安 全 等 级 的 划分 
标准 和 安全 等 级 保护 的 具体 办 法 ,由 公安 部 会 同 有 关 部 门 制定 ”。 根 据 《 条 例 》 的 要 求 , 公 
安 部 会 同 有 关 部 门 ,组 织 制定 了 我 国 第 一 个 信息 安全 等 级 保护 的 强制 性 国家 标准 : 
GB 17859 一 1999 计 算 机 信息 系统 安全 保护 等 级 划分 准则 》( 注 : 本 标准 所 称 “ 信 息 系 统 ” 
与 《条 例 》 和 GB 17859 一 1999 所 称 的 “计算 机 信息 系统 ”含义 基本 相同 ) 。 

为 了 推进 信息 安全 等 级 保护 工作 的 开展 ,公安 部 组 织 编写 并 于 2002 年 7 月 15 日 发 
布 了 一 批 为 GB 17859 一 1999 配套 并 具有 更 好 可 操作 性 的 公共 安全 行业 标准 ,主要 包括 : 
GA/T 387 一 200% 计 算 机 信息 系统 安全 等 级 保护 网 络 技术 要 求 》GA/VT 388 一 2002《 计 算 
机 信息 系统 安全 等 级 保护 操作 系统 技术 要 求 》GA/T 389 一 2002《 计 算 机 信息 系统 安全 等 
级 保护 数据 库 管 理 系 统 技术 要 求 》GA/T 390 一 2002% 计 算 机 信息 系统 安全 等 级 保护 通用 
技术 要 求 》GA/T 391 一 2002《 计 算 机 信息 系统 安全 等 级 保护 管理 要 求 ) 等 。 这 些 标准 的 
发 布 对 信息 安全 等 级 保护 工作 的 开展 起 到 了 积极 的 推动 作用 。 

2003 年 8 月 26 日 发 布 的 中 办 [2003]27 号 文件 《国家 信息 化 领导 小 组 关于 加 强 信息 
安全 保障 工作 的 意见 》) ,确立 了 信息 安全 等 级 保护 的 基本 指导 思想 。27 号 文件 明确 要 求 
在 我 国 “实行 信息 安全 等 级 保护 ”, 指 出 “信息 化 发 展 的 不 同 阶段 和 不 同 的 信息 系统 有 着 不 
同 的 安全 需求 ,必须 从 实际 出 发 ,综合 平衡 安全 成 本 和 风险 ,优化 信息 安全 资源 的 配置 , 确 
保重 点 。 要 重点 保护 基础 信息 网 络 和 关系 国家 安全 、 经 济 命脉 .社会 稳定 等 方面 的 重要 信 
息 系统 ,抓紧 建立 信息 安全 等 级 保护 制度 ,制定 信息 安全 等 级 保护 的 管理 办 法 和 技术 指 
南 。 要 重视 信息 安全 风险 评估 工作 ,对 网 络 与 信息 系统 安全 的 潜在 威胁 、 薄 弱 环 节 、 防 护 
措施 等 进行 分 析 评 估 , 综 合 考 虑 网 络 与 信息 系统 的 重要 性 、 涉 密 程度 和 面临 的 信息 安全 风 
险 等 因素 ,进行 相应 等 级 的 安全 建设 和 管理 。 对 涉及 国家 秘密 的 信息 系统 ,要 按照 党 和 国 
家 有 关 保 密 规 定 进行 保护 ”。27 号 文件 进一步 明确 规定 信息 安全 等 级 保护 是 国家 信息 安 
全 基本 保障 制度 。 

根据 27 号 文件 关于 “抓紧 建立 信息 安全 等 级 保护 制度 ”的 要 求 , 公 安 部 、 国 家 保密 局 、 
国家 密码 管理 委员 会 办 公 室 、 国 务 院 信息 化 工作 办 公 室 于 2004 年 9 月 15 日 发 布 的 (关于 
信息 安全 等 级 保护 工作 的 实施 意见 》( 公 通 字 [2004]66 号 文件 ), 对 信息 安全 等 级 保护 制 
度 的 实施 作出 了 具体 的 规定 ,2007 年 6 月 22 日 公安 部 、 国 家 保密 局 、 国 家 密码 管理 局 、 国 
务 院 信息 化 工作 办 公 室 联合 修改 并 签发 了 《信息 安全 等 级 保护 管理 办 法 》( 公 通 字 [2007] 
43 号 ) ,对 信息 安全 等 级 保护 制度 的 具体 实施 工作 作出 了 进一步 的 规定 ,并 从 国家 安全 角 


2 


小 拉 过 


度 , 按 照 信息 系统 的 信息 资源 和 系统 服务 所 受到 危害 后 对 国家 安全 、 社 会 秩序 、 公 民 及 法 
人 等 利益 产生 的 影响 ,对 信息 系统 需要 进行 保护 的 安全 等 级 进行 了 划分 。 

信息 安全 等 级 保护 是 我 国信 息 安 全 的 基本 制度 .基本 政策 和 基本 方法 。 国 家 通过 信 
息 安 全 等 级 保护 管理 政策 和 标准 ,从 总 体 上 规定 了 对 信息 系统 实行 五 级 安全 保护 。 管 理 
办 法 的 五 个 安全 保护 等 级 ,是 从 管理 角度 按照 安全 需求 进行 的 等 级 划分 ;强制 性 国标 
GB 17859 一 1999 及 其 配套 系列 标准 中 的 五 个 安全 保护 等 级 ,是 按照 信息 安全 保护 能 力 进 
行 的 等 级 划分 。 两 种 等 级 划分 是 信息 安全 保护 等 级 制度 从 不 同 角度 的 统一 体现 。 

为 了 贯彻 执行 信息 安全 等 级 保护 制度 ,以 GB 17859 一 1999 等 级 划分 为 基本 依据 ,以 
上 述 公 共 安 全 行业 标准 为 基础 ,由 国家 信息 安全 标准 化 技术 委员 会 提出 并 组 织 制定 了 一 
系列 信息 安全 国家 标准 ,主要 包括 :; GB/T 20269 一 2006《 信 息 安全 技术 信息 系统 安全 管 
理 要 求 》,GB/T 20270 一 2006《 信 息 安全 技术 网 络 基础 安全 技术 要 求 》 GB/T 20271 一 
2006《 信 息 安全 技术 信息 系统 通用 安全 技术 要 求 》,GB/T 20272 一 2006《 信 息 安全 技术 操 
作 系 统 安 全 技术 要 求 》,GB/T 20273 一 2006《 信 息 安全 技术 数据 库 管理 系统 安全 技术 要 
求 》,GB/T 20282 一 2006《 信 息 安 全 技术 信息 系统 安全 工程 管理 要 求 》, GB/T 21028 一 
2007《 信 息 安全 技术 服务 器 安全 技术 要 求 》,GB/T 21052 一 2007《 信 息 安 全 技术 信息 系统 
物理 安全 技术 要 求 》,GB/T 22239 一 2008《 信 息 安 全 技术 信息 系统 安全 等 级 保护 基本 要 
求 》,GB/T 22240 一 2008《 信 息 安全 技术 信息 系统 安全 等 级 保护 定 级 指南 ) 等 。 

本 标准 是 在 这 一 系列 信息 安全 等 级 保护 相关 标准 的 基础 上 ,充分 汲取 了 已 经 发 布 的 
一 系列 信息 安全 等 级 保护 相关 标准 对 于 信息 系统 各 安全 要 素 所 进行 的 安全 等 级 划分 的 基 
本 思想 ,对 按照 GB/T 22240 一 2008 确定 的 每 一 个 安全 等 级 的 定 级 系统 的 安全 保护 环境 
的 设计 提出 了 规范 人 性 的 要 求 , 对 第 一 级 至 第 五 级 定 级 系统 安全 保护 环境 的 安全 计算 环境 、 
安全 区 域 边界 、 安 全 通信 网 络 和 安全 管理 中 心 等 方面 的 设计 技术 ,以 及 系统 安全 互联 的 设 
计 技 术 提 出 了 规范 性 要 求 。 本 标准 对 于 指导 按照 信息 安全 等 级 保护 要 求 进行 信息 系统 安 
全 整改 具有 十 分 重要 的 意义 和 实际 指导 作用 。 

本 标准 第 五 章 到 第 八 章 ,分别 对 第 一 级 系统 到 第 四 级 系统 安全 保护 环境 的 安全 设计 
要 求 , 从 设计 目标 .设计 策略 .设计 技术 要 求 进行 了 详细 描述 。 本 标准 第 九 章 对 第 五 级 系 
统 安全 保护 环境 的 安全 设计 要 求 ,对 设计 目标 .设计 策略 给 出 了 要 求 , 对 设计 技术 要 求 的 
制定 给 出 了 原则 性 说 明 。 本 标准 第 十 章 对 系统 互联 安全 设计 要 求 ,从 设计 目标 、 设 计策 
略 、 设 计 技 术 要 求 进行 了 撒 述 。 


1.1.2 ”适用 范围 


【标准 条 款 】 
GB/T 24856 一 2009 


1 范围 

本 标准 依据 国家 信息 安全 等 级 保护 的 要 求 ,规范 了 信息 系统 等 级 保护 安全 设计 技术 要 求 。 

本 标准 适用 于 指导 信息 系统 运营 使 用 单位 \ 信 息 安 全 企业 、 信 息 安 全 服务 机 构 开 展 信 息 系 统 等 
级 保护 安全 技术 方案 的 设计 和 实施 ,也 可 作为 信息 安全 职能 部 门 进 行 监督 检查 和 指导 的 依据 。 


第 二 章 《信息 系统 等 级 保护 安全 设计 技术 有 要求) 标准 解读 


【条 款 解 读 2】 

一 、 目 的 和 意图 

界定 GB/T 20271 一 2006 的 适用 范围 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 第 1 章 ( 范 围 ) ,对 本 标准 的 适用 范围 从 涵盖 内 容 和 使 用 对 象 
两 个 方面 进行 了 界定 : 

@ 按照 信息 安全 等 级 保护 的 要 求 ,确定 信息 系统 等 级 保护 安全 设计 的 技术 要 求 , 是 
GB/T 24856 一 2009 的 内 容 主体 ,这 些 内 容 有 助 于 使 用 者 了 解 、 规 划 和 实施 信息 系统 的 安 
全 建设 ,对 信息 系统 等 级 保护 安全 整改 工作 具有 指导 和 参考 作用 。 

@ 信息 系统 安全 建设 的 相关 人 员 , 以 及 从 事 信息 系统 安全 测试 .管理 和 服务 的 相关 
人 员 是 GB/T 24856 一 2009 的 主要 使 用 对 象 ,其 他 使 用 对 象 还 包括 任何 与 信息 安全 等 级 
保护 相关 的 或 对 信息 安全 等 级 保护 感 兴趣 的 人 员 。GB/T 24856 一 2009 对 这 些 使 用 对 象 
提出 了 进行 信息 系统 等 级 保护 安全 设计 的 规范 性 要 求 。 


1.1.3 规范 性 引用 文件 


【标准 条 款 】 
GB/T 24856 一 2009 


2 规范 性 引用 文件 
下 列 文件 中 的 条 款 通过 本 标准 的 引用 而 成 为 本 标准 的 条 款 。 凡 是 注 日 期 的 引用 文件 ,其 随后 
所 有 的 修改 单 (不 包括 勘误 的 内 容 ) 或 修订 版 均 不 适用 于 本 标准 ,然而 ,鼓励 根据 本 标准 达成 协议 的 


各 方 研 究 是 否 可 使 用 这 些 文件 的 最 新 版 本 。 凡 是 不 注 日 期 的 引用 文件 ,其 最 新 版 本 适用 于 本 标准 。 
GB 17859 一 1999 计算 机 信息 系统 安全 保护 等 级 划分 准则 


【条 款 解 读 3】 

一 、 目 的 和 意图 

提供 GB/T 24856 一 2009 正文 中 所 引用 的 相关 标准 或 规范 性 文件 的 信息 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 列 出 了 1 项 强制 性 国家 标准 : 

强制 性 国家 标准 GB 17859 一 1999《 计 算 机 信息 系统 安全 保护 等 级 划分 准则 》 是 根据 
1994 年 2 月 18 日 国务 院 发 布 的 147 号 令 的 要 求 制定 的 对 计算 机 信息 系统 进行 安全 保护 
等 级 划分 的 基础 性 标准 。GB 17859 一 1999 按照 147 号 令 关 于 我 国 “计算 机 信息 系统 实行 
安全 等 级 保护 ?的 要 求 ,以 美国 国防 部 的 可 信 计 算 机 系统 评估 准则 (TCSEC, 俗称 “ 橘 皮 
书 ”) 为 基本 参考 ,结合 我 国 计 算 机 信息 系统 安全 的 实际 情况 ,将 计算 机 信息 系统 的 安全 划 
分 为 五 个 等 级 ,并 给 出 了 每 一 个 安全 保护 等 级 的 基本 要 求 。GB 17859 一 1999 尽管 主要 是 
从 计算 机 环境 对 五 个 等 级 的 划分 准则 进行 描述 ,但 是 关于 五 个 安全 保护 等 级 的 划分 ,可 以 
很 容易 就 扩展 到 网 络 环境 ,从 而 为 计算 机 网 络 环境 的 信息 系统 安全 技术 等 级 的 划分 葛 定 
了 技术 基础 。 本 标准 正 是 按照 GB 17859 一 1999 的 五 个 安全 等 级 的 划分 ,对 组 成 信息 系 
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统 的 计算 机 、 网 络 的 软 硬 件 平台 及 其 应 用 系统 所 涉及 的 通用 安全 技术 ,按照 五 个 安全 保护 
等 级 进行 划分 ,对 每 一 个 安全 保护 等 级 应 具有 的 安全 技术 要 求 进行 描述 。 


1.1.4 术语 和 定义 


【标准 条 款 】 
GB/T 24856 一 2009 


3 术语 和 定义 
GB 17859 一 1999 确立 的 以 及 下 列 术语 和 定义 适用 于 本 标准 。 


【条 款 解 读 4】 

一 、 目 的 和 意图 

描述 本 标准 所 适用 的 术语 和 定义 。 

二 、 解释 和 示例 

本 标准 是 以 GB 17859 一 1999 为 基础 制定 的 ,所 以 GB 17859 一 1999 所 确立 的 术语 应 
该 适用 于 本 标准 。 本 标准 同时 对 在 本 标准 范围 内 适用 的 术语 进行 了 定义 。 术 语 和 定义 的 
进一步 解释 ,参见 条 款 解读 5。 


【标准 条 款 】 
GB/T 24856 一 2009 


3.1 定 级 系统 classified system 

按照 参考 文献 [11]? 已 确定 安全 保护 等 级 的 信息 系统 。 定 级 系统 分 为 第 一 级 ,第 二 级 \ 第 三 级 、 
第 四 级 和 第 五 级 信息 系统 。 

3.2 定 级 系统 安全 保护 环境 security environment of classified system 

由 安全 计算 环境 、 安 全 区 域 边界 安全 通信 网 络 和 (或 ) 安 全 管理 中 心 构成 的 对 定 级 系统 进行 安 
全 保护 的 环境 。 

定 级 系统 安全 保护 环境 包括 第 一 级 系统 安全 保护 环境 、 第 二 级 系统 安全 保护 环境 .第 三 级 系统 
安全 保护 环境 、 第 四 级 系统 安全 保护 环境 、 第 五 级 系统 安全 保护 环境 以 及 定 级 系统 的 安全 互联 。 

3.3 安全 计算 环境 secure computing environment 

对 定 级 系统 的 信息 进行 存储 、 处 理 及 实施 安全 策略 的 相关 部 件 。 

安全 计算 环境 按照 保护 能 力 划 分 为 第 一 级 安全 计算 环境 、 第 二 级 安全 计算 环境 、 第 三 级 安全 计 
算 环境 ,第 四 级 安全 计算 环境 和 第 五 级 安全 计算 环境 。 

3.4 安全 区 域 边界 secure area boundary 

对 定 级 系统 的 安全 计算 环境 边界 ,以 及 安全 计算 环境 与 安全 通信 网 络 之 间 实 现 连接 并 实施 安 
全 策略 的 相关 部 件 。 

安全 区 域 边界 按照 保护 能 力 划分 为 第 一 级 安全 区 域 边界 .第 二 级 安全 区 域 边界 .第 三 级 安全 区 
域 边界 、 第 四 级 安全 区 域 边界 和 第 五 级 安全 区 域 边界 。 


@ ”此 处 的 参考 文献 [11] 为 GB/T 22240 一 2008《 信 息 系 统 安 全 等 级 保护 定 级 指南 》。 


.第 工 章 .《 信 息 系 统 等 级 保护 安全 设计 技术 有 要求 ?标准 解读 


3.5 安全 通信 网 络 secure communication network 

对 定 级 系统 安全 计算 环境 之 间 进 行 信息 传输 及 实施 安全 策略 的 相关 部 件 。 安 全 通信 网 络 按照 
保护 能 力 划 分 第 一 级 安全 通信 网 络 .第 二 级 安全 通信 和 网络、 第 三 级 安全 通信 网 络 、 第 四 级 安全 通信 
网 络 和 第 五 级 安全 通信 和 网络 。 

3.6 安全 管理 中 心 security management center 

对 定 级 系统 的 安全 策略 及 安全 计算 环境 、 安 全 区 域 边界 和 安全 通信 网 络 上 的 安全 机 制 实施 统 
一 管理 的 平台 。 

第 二 级 及 第 二 级 以 上 的 定 级 系统 安全 保护 环境 需要 设置 安全 管理 中 心 , 称 为 第 二 级 安全 管理 
中 心 .第 三 级 安全 管理 中 心 .第 四 级 安全 管理 中 心 和 第 五 级 安全 管理 中 心 。 

3.7” 跨 定 级 系统 安全 管理 中 心 security management center for cross classified system 

跨 定 级 系统 安全 管理 中 心 是 对 相同 或 不 同等 级 的 定 级 系统 之 间 互 联 的 安全 策略 及 安全 互联 部 
件 上 的 安全 机 制 实施 统一 管理 的 平台 。 

3.8 定 级 系统 互联 classified system interconnection 

通过 安全 互联 部 件 和 跨 定 级 系统 安全 管理 中 心 实现 的 相同 或 不 同等 级 的 定 级 系统 安全 保护 环 
境 之 间 的 安全 连接 。 


【条 款 解 读 5】 

一 、 目 的 和 意图 

对 本 标准 适用 的 术语 进行 定义 。 

二 、 解 释 和 示例 

GB/T 24856 一 2009 的 第 3 章 (术语 和 定义 ), 对 本 标准 所 适用 的 术语 进行 了 定义 。 
本 标准 是 以 GB 17859 一 1999 为 基础 制定 的 ,所 以 GB 17859 一 1999 所 确立 的 术语 应 该 适 
用 于 本 标准 。 除 了 GB 17859 一 1999 所 定义 的 相关 术语 适用 于 本 标准 外 ,本 标准 对 正文 
中 出 现 的 以 下 术语 进行 了 定义 : 

@ 定 级 系统 ,是 指 按照 《信息 安全 技术 信息 系统 安全 等 级 保护 定 级 指南 》 
《GB/T 22240 一 2008) 已 确定 安全 保护 等 级 的 信息 系统 。 定 级 系统 安全 保护 环境 是 指 ,由 
安全 计算 环境 、 安 全 区 域 边界 .安全 通信 网 络 和 (或 ) 安 全 管理 中 心 构成 的 对 定 级 系统 进行 
安全 保护 的 环境 。 

@ 定 级 系统 安全 保护 环境 ,是 指 按 等 级 保护 要 求 对 定 级 系统 进行 安全 保护 的 环境 ， 
由 安全 计算 环境 、 安 全 区 域 边界 、 安 全 通信 网络 和 安全 管理 中 心 ( 二 级 以 上 设 安全 管理 中 
心 ) 构 成 ,按照 安全 保护 能 力 可 划分 为 第 一 级 安全 保护 环境 、 第 二 级 安全 保护 环境 、 第 三 级 
安全 保护 环境 、 第 四 级 安全 保护 环境 和 第 五 级 安全 保护 环境 。 

@ 安全 计算 环境 ,是 指 对 定 级 系统 的 信息 进行 存储 、 处 理 及 实施 安全 保护 的 相关 部 
件 。 计 算 环 境 由 定 级 系统 中 完成 信息 存储 与 处 理 的 计算 机 系统 硬件 和 系统 软件 以 及 外 部 
设备 及 其 连接 部 件 组 成 。 安 全 计算 环境 是 具有 一 定安 全 保护 能 力 的 计算 环境 ,按照 安全 
保护 能 力 可 划分 为 第 一 级 安全 计算 环境 、 第 二 级 安全 计算 环境 、 第 三 级 安全 计算 环境 、 第 
四 级 安全 计算 环境 和 第 五 级 安全 计算 环境 。 

图 安全 区 域 边界 ,是 指 对 定 级 系统 的 安全 计算 环境 边界 ,以 及 安全 计算 环境 与 安全 
通信 网 络 之 间 实 现 连接 并 实施 安全 保护 的 相关 部 件 。 安 全 区 域 边界 是 对 安全 计算 环境 以 
及 进出 安全 计算 环境 的 信息 具有 一 定安 全 保护 能 力 的 区 域 边界 ,按照 安全 保护 能 力 可 划 
分 为 第 一 级 安全 区 域 边界 、 第 二 级 安全 区 域 边界 、 第 三 级 安全 区 域 边界 、 第 四 级 安全 区 域 
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边界 和 第 五 级 安全 区 域 边界 。 

加 安全 通信 网 络 ,是 指 对 定 级 系统 安全 计算 环境 之 间 进 行 信息 传输 及 实施 安全 保护 
的 部 件 。 安 全 通信 网 络 是 具有 一 定安 全 保护 能 力 的 通信 网 络 ,按照 安全 保护 能 力 可 划分 
为 第 一 级 安全 通信 网 络 . 第 二 级 安全 通信 网 络 、 第 三 级 安全 通信 和 网络、 第 四 级 安全 通信 网 
络 和 第 五 级 安全 通信 网 络 。 

@ 安全 管理 中 心 ,是 指 对 定 级 系统 的 安全 策略 及 安全 计算 环境 、 安 全 区 域 边界 和 安 
全 道 信 和 网络 上 的 安全 机 制 实施 统一 管理 的 平台 。 第 二 级 及 其 以 上 的 安全 保护 环境 道 常 需 
要 设置 安全 管理 中 心 , 分 别称 为 第 二 级 安全 管理 中 心 .第 三 级 安全 管理 中 心 、 第 四 级 安全 
管理 中 心 和 第 五 级 安全 管理 中 心 。 

@ 跨 定 级 系统 安全 管理 中 心 ,是 指 对 相同 或 不 同等 级 的 定 级 系统 之 间 安 全 互联 的 安 
全 策略 及 安全 互联 部 件 上 的 安全 机 制 实施 统一 管理 的 平台 。 

定 级 系统 互联 ,是 指 为 相同 或 不 同等 级 的 定 级 系统 安全 保护 环境 之 间 实 施 安全 互 
联 和 安全 管理 的 部 件 。 定 级 系统 安全 互联 由 安全 互联 部 件 和 跨 定 级 系统 安全 管理 中 心 组 
成 。 安 全 互联 部 件 道 常 由 具有 相应 安全 功能 的 安全 网 关 构成 。 
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【标准 条 款 】 
GB/T 24856 一 2009 
4 信息 系统 等 级 保护 安全 技术 设计 概述 
信息 系统 等 级 保护 安全 技术 设计 包括 各 级 系统 安全 保护 环境 的 设计 及 其 安全 互联 的 设计 ,如 图 1 
第 一 级 系统 第 二 级 系统 第 三 级 系统 第 四 级 系统 第 五 级 系统 
安全 保护 环境 安全 保护 环境 安全 保护 环境 安全 保护 环境 安全 保护 环境 
ER cll | |e = 二 学 > 四 四 四 五 五 五 
级 | | 级 | | 级 | | 级 | 上 级 级 | | 级 | | 级 级 | | 级 | | 级 级 | | 级 | | 级 
安 安 | | 安 安 安 | “| 安 安 | “| 安 | “| 安 安 | “| 安 | | 安 安 | “| 安 交 
全 kj 全 [> 全 全 KP 全 KH 全 全 KH 全 KI 全 全 KY 全 KH 全 全 KH 全 KH 全 
证 区 | | 通 计 区 | | 通 计 区 | | 通 计 区 | | 通 计 区 | | 通 
算 | | 域 | | 信人 | | 算 | | 域 | | 信 | | 算 | | 域 | 六 | 算 | | 域 | | 信 | | | 算 | | 域 | 信 
环 边 | | 网 环 边 网 环 边 网 环 边 网 环 边 网 
境 | | 界 | | 络 境 界 | | 络 境 界 | | 络 境 界 | | 络 境 | | 界 | 络 
hi 全 人 | 人 人 人 | 人 全 全 | 全 全 
第 “级 安全 管理 中 心 儿 第 三 级 安全 管理 中 心 | 第 四 级 安全 管理 中 心 川 第 五 级 安全 管理 中 心 
lL i | 
定 级 系统 互联 安全 互联 部 件 
I 
跨 定 级 系统 安全 管理 中 心 
图 1 信息 系统 等 级 保护 安全 技术 设计 框架 


小 2 .信息 系统 等 级 保护 安全 设计 概述 、 


.第 二 章 《信息 系统 等 级 保护 安全 设计 技术 有 要求) 标准 解读 


所 示 。 各 级 系统 安全 保护 环境 由 相应 级 别 的 安全 计算 环境 、 安 全 区 域 边界 、 安 全 通信 网 络 和 (或 ) 安 
全 管理 中 心 组 成 。 定 级 系统 互联 由 安全 互联 部 件 和 跨 定 级 系统 安全 管理 中 心 组 成 。 

本 标准 以 下 章节 ,对 图 1 各 个 部 分 提出 了 相应 的 设计 技术 要 求 ( 第 五 级 信息 安全 保护 环境 的 设 
计 要 求 除外 )。 附 录 A 给 出 了 访问 控制 机 制 设 计 ,附录 也 给 出 了 第 三 级 系统 安全 保护 环境 设计 
示例 。 


【条 款 解 读 6】 

一 、 目 的 和 意图 

对 信息 系统 等 级 保护 安全 设计 进行 概要 描述 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 第 4 章 ( 信 息 系统 等 级 保护 安全 设计 概述 ), 概 要 描述 了 按照 
信息 系统 安全 等 级 保护 的 要 求 进 行 安 全 信息 系统 的 安全 设计 。 

本 章 以 图 示 的 形式 给 出 了 信息 系统 等 级 保护 安全 技术 设计 框架 。 按 图 1 所 示 , 一 个 
典型 的 多 级 安全 信息 系统 由 第 一 级 系统 安全 保护 环境 、 第 二 级 系统 安全 保护 环境 、 第 三 级 
系统 安全 保护 环境 、 第 四 级 系统 安全 保护 环境 、 第 五 级 系统 安全 保护 环境 以 及 安全 定 级 系 
统 互联 等 部 分 组 成 。 其 中 每 一 级 系统 安全 保护 环境 分 别 由 具有 符合 第 一 级 安全 要 求 的 安 
全 计算 环境 、 安 全 区 域 边界 、 安 全 通信 网 络 和 安全 管理 中 心 组 成 。 安 全 系统 互联 则 由 系统 
安全 互联 部 件 和 跨 系统 安全 管理 中 心 组 成 。 

以 下 是 信息 系统 安全 等 级 保护 设计 的 示例 。 通 过 该 示例 将 把 标准 中 图 1 所 示 的 信息 
系统 等 级 保护 安全 技术 设计 与 典型 信息 系统 的 安全 保护 设计 相 联 系 。 

图 1-1 是 典型 信息 系统 安全 保护 总 体 结构 的 示意 图 ,是 当前 我 国 大 部 分 部 委 信 息 系 
统 的 实际 结构 的 抽象 表示 。 

按 图 1-1 所 示 ,一 个 典型 的 信息 系统 安全 保护 总 体 结构 ,由 总 部 安全 信息 系统 、 省 级 
安全 信息 系统 和 地 级 安全 信息 系统 (必要 时 可 延伸 至 县 级 安全 信息 系统 ) 等 三 层 的 安全 信 
息 系 统 组 成 。 各 层 安 全 信息 系统 相对 独立 ,可 以 看 作 是 独立 的 信息 系统 ;各 层 安 全 信息 系 
统 又 通过 内 网 安全 通信 网 络 相互 连接 ,可 以 看 作 是 一 个 综合 的 安全 信息 系统 。 其 中 ,总 部 
和 省 级 层 数 据 中 心安 全 计算 环境 、 各 层 业 务 处 理 计算 环境 、 各 层 内 部 终端 安全 计算 环境 、 
各 层 外 部 安全 计算 环境 对 应 于 标准 图 1 中 的 安全 计算 环境 ;各 层 安 全 计算 环境 相应 的 安 
全 区 域 边界 对 应 于 标准 图 1 中 的 安全 区 域 边界 (各 层 终 端 计算 环境 的 安全 区 域 边界 没有 
显 式 表示 出 来 ); 各 层 内 、 外 网 安全 道 信和 网 络 对 应 于 标准 图 1 中 的 安全 通信 网络 。 

各 层 安 全 信息 系统 由 各 层 业 务 处 理 安全 计算 环境 及 其 安全 区 域 边界 、 各 层 外 部 终端 
安全 计算 环境 、 各 层 内 部 终端 安全 计算 环境 、 各 层 数 据 中 心安 全 计算 环境 (地 级 除外 )、 各 
层 安全 管理 中 心 以 及 各 层 内 网 安全 通信 网 络 和 各 层 外 网 安全 通信 网 络 等 部 分 组 成 。 标 准 
中 所 称 定 级 系统 ,分 别 由 各 层 业 务 处 理 安全 计算 环境 中 的 各 个 业务 处 理 安全 计算 环境 与 
相应 各 层 内 、 外 部 终端 安全 计算 环境 及 实现 其 互联 的 各 层 内 、 外 部 安全 通信 网 络 组 成 的 系 
统 ,其 安全 保护 等 级 由 系统 中 所 包含 的 安全 计算 环境 的 最 高 安全 等 级 确定 。 

根据 业务 数据 和 业务 处 理 的 安全 要 求 ,总 部 安全 信息 系统 中 ,作为 数据 集中 存储 和 处 
理 的 总 部 数据 中 心安 全 计算 环境 及 其 安全 区 域 边界 一 般 需 要 进行 四 级 或 三 级 安全 保护 ， 
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总 部 安全 信息 系统 总 部 路 系统 安全 互联 人 和 部 安全 仿 理 中 
pe 疡 全 管 ER 
总 部 外 部 互联 部 件 | | 安全 管理 中 心 人 网 a 一 
终端 安全 外 | 部 记 [ 
| 全 总 部 安全 计算 环 | 或 | 计算 环境 
通 总 前 总 部 边 


举 习 
四 


.| 业务 | .… | 业务 
总 部 外 部 处 理 1 处 理 n 
终 秽 安全 臣 总 部 内 部 
a 安全 区 域 边界 终端 安全 | … | 终端 安全 
计算 环境 计算 环境 
省 级 安全 信息 系统 省 级 跨 系统 安全 互联 省 级 安全 管理 中 心 
ee | 互联 部 件 | | 安全 管理 中 心 
线 端 安全 外 | | 安 
计算 环境 网 全 | 全 | 省 级 数据 
~ 安 省 级 业务 处 理 安全 计算 环境 | 。 | 信 | 一 -~| 如 | 中 心安 全 
; | 使 2 和 5 所 计算 环境 
: 本 a 
Ws 因 业务 | … | 业务 I 
省 级 外 部 网 处 理 1 处 理 n 
线 端 安全 络 
[ 财 寺 | 安全 区 域 边界 


地 级 路 系统 安全 互联 地 级 安全 管理 中 必 
i 和 | 互联 部 件 | | 安全 管理 中 心 
终端 安全 入 地 级 内 部 
计算 环 培 网 有 安 | 终 剖 安全 
地 级 业务 处 理 安全 计算 环境 会 一 
| 
| 通 地 级 地 级 信 : 
地 级 外 加 外 | ”| 证 给 | 
部 El 有] 
二 地 外 这 络 A 地 级 内 部 
终端 安全 一 终端 安全 
计算 环境 安全 区 成 边界 1 


图 1-1 上 典型 信息 系统 安全 保护 总 体 结构 


总 部 业务 处 理 安全 计算 环境 及 其 区 域 边界 一 般 需 要 进行 三 级 或 二 级 安全 保护 ,总 部 内 、 外 
部 终端 安全 计算 环境 一 般 需 要 进行 二 级 或 一 级 安全 保护 ,作为 连接 总 部 各 安全 计算 环境 
的 总 部 内 、 外 网 安全 通信 和 网络 ,通常 根据 其 所 传输 数据 的 安全 保护 需求 来 确定 其 应 具有 的 
安全 保护 等 级 ;省 级 安全 信息 系统 中 ,作为 数据 集中 存储 和 处 理 的 省 级 数据 中 心安 全 计算 
环境 及 其 安全 区 域 边界 一 般 需 要 进行 三 级 安全 保护 ,省 级 业务 处 理 安全 计算 环境 及 其 区 
域 边界 一 般 需要 进行 二 级 或 三 级 安全 保护 ,省 级 内 、 外 部 终端 安全 计算 环境 一 般 需 要 进行 
一 级 或 二 级 全 保护 ,作为 连接 各 省 级 各 安全 计算 环境 的 省 级 内 、 外 网 安全 通信 网 络 ,通常 
根据 其 所 传输 数据 的 安全 保护 需求 来 确定 其 应 具有 的 安全 保护 等 级 ;地 级 安全 信息 系统 
中 ,地 级 业务 处 理 安全 计算 环境 及 其 区 域 边界 一 般 需 要 进行 二 级 安全 保护 ,地 级 内 、 外 部 


第 工 章 《信息 系统 等 级 保护 安全 设计 技术 和 要求) 标准 解读 


终端 安全 计算 环境 一 般 需要 进行 一 级 或 二 级 全 保护 ,作为 连接 地 级 各 安全 计算 环境 的 地 
级 内 、 外 网 安全 通信 和 网络 ,通常 根据 其 所 传输 数据 的 安全 保护 需求 来 确定 其 应 具有 的 安全 
保护 等 级 。 

需要 进一步 说 明 的 是 ,按照 上 述 结构 ,一 个 定 级 系统 可 以 包括 一 个 或 多 个 不 同安 全 
保护 等 级 的 安全 计算 环境 及 其 安全 区 域 边界 ,以 及 根据 这 些 安全 计算 环境 之 间 所 传输 
的 数据 需求 确定 的 内 、 外 部 安全 通信 网 络 。 另 外 ,由 于 多 个 定 级 系统 往往 运行 于 同一 
个 物理 环境 之 上 ,对 于 安全 计算 环境 而 言 , 一 般 只 能 按照 较 高 等 级 来 进行 安全 机 制 配 
置 ,而 对 于 安全 通信 网 络 则 可 以 采用 建立 虚拟 专用 网 等 方式 来 实现 不 同安 全 等 级 的 安 
全 保护 。 

图 1-1 中 分 别 给 出 了 跨 系统 安全 互联 各 层 安 全 信息 系统 的 安全 互联 ,包括 安全 互联 
部 件 和 跨 系统 互联 安全 管理 中 心 。 在 具体 实现 上 ,可 以 在 各 层 设置 安全 互联 部 件 和 跨 系 
统 互联 安全 管理 中 心 ,实现 各 层 安 全 信息 系统 范围 内 的 跨 系统 安全 互联 ,也 可 以 全 系统 设 
置 统 一 的 安全 互联 部 件 和 全 系统 跨 系统 互联 安全 管理 中 心 ,实现 整个 安全 信息 系统 范围 
的 跨 系统 安全 互联 。 

连接 不 同等 级 安全 计算 环境 的 安全 通信 和 网络 ,一 般 应 具有 与 较 低 安全 等 级 的 安全 计 
算 环境 相同 的 安全 等 级 。 因 为 无 论 是 从 较 高 等 级 的 安全 计算 环境 向 较 低 等 级 的 安全 计算 
环境 传输 数据 ,还 是 从 较 低 等 级 的 安全 计算 环境 向 较 高 等 级 的 安全 计算 环境 传输 数据 , 数 
据 在 传输 过 程 中 的 安全 保护 需求 ,都 可 以 作为 较 低 等 级 安全 计算 环境 安全 保护 需求 的 
延伸 。 


。 第 一 级 信息 系统 安全 保护 环境 设计 


【标准 条 款 】 
GB/T 24856 一 2009 


5 第 一 级 系统 安全 保护 环境 设计 


【条 款 解读 7】 

一 、 目 的 和 意图 

描述 第 一 级 信息 系统 安全 保护 环境 的 安全 设计 要 求 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 第 5 章 ( 第 一 级 系统 安全 保护 环境 设计 ) ,从 设计 目标 、 设 计 
策略 和 设计 技术 要 求 等 方面 ,对 第 一 级 信息 系统 安全 保护 环境 的 安全 设计 要 求 进行 
描述 。 

有 关 第 一 级 信息 系统 安全 保护 环境 的 安全 设计 要 求 的 进一步 解释 ,参见 条 款 解 读 8、 
条 款 解读 9 和 条 款 解 读 10。 
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小 3 .第 一 级 信息 系统 安全 保护 环境 设计 . 


1.3.1 安全 设计 目标 


【标准 条 款 】 
GB/T 24856 一 2009 


5.1 设计 目标 
第 一 级 系统 安全 保护 环境 的 设计 目标 是 : 按照 GB 17859 一 1999 对 第 一 级 系统 的 安全 保护 要 
求 , 实 现 定 级 系统 的 自主 访问 控制 ,使 系统 用 户 对 其 所 属 客 体 具 有 自我 保护 的 能 力 。 


【条 款 解读 8】 

一 、 目 的 和 意图 

描述 第 一 级 信息 系统 安全 保护 环境 的 安全 设计 目标 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 5.1( 设 计 目 标 ) ,对 第 一 级 信息 系统 安全 保护 环境 的 安全 设计 
目标 进行 了 描述 。 强 调 第 一 级 信息 系统 安全 保护 环境 的 安全 设计 是 对 GB 17859 一 1999 
用 户 自主 保护 级 安全 保护 要 求 的 具体 实现 。 安 全 设计 目标 是 : 达到 提供 用 户 对 其 所 属 客 
体 进 行 自 主 保护 的 水 平 。 

第 一 级 信息 系统 安全 保护 环境 的 安全 设计 目标 ,应 根据 信息 安全 等 级 保护 有 关 政 策 
法 规 ( 如 公 通 字 [2004]66 号 文件 和 公 通 字 [2007]43 号 文件 等 ) 对 第 一 级 信息 系统 安全 要 
求 的 描述 ,按照 风险 分 析 的 方法 所 确定 的 目标 信息 系统 的 安全 需求 ,以 及 信息 安全 等 级 保 
护 相 关 标准 对 适用 于 第 一 级 信息 系统 的 安全 要 素 和 安全 产品 的 具体 要 求 , 综 合 分 析 进 行 
人 确定。 

1.3.2 ”安全 设计 策略 


【标准 条 款 】 
GB/T 24856 一 2009 


5.2 设计 策略 

第 一 级 系统 安全 保护 环境 的 设计 策略 是 ; 遵循 GB 17859 一 1999 的 4.1 中 相关 要 求 ,以 身份 鉴 
别 为 基础 ,提供 用 户 和 (或 ) 用 户 组 对 文件 及 数据 库 表 的 自主 访问 控制 ,以 实现 用 户 与 数据 的 隔离 ， 
使 用 户 具 备 自主 安全 保护 的 能 力 ; 以 包 过 滤 手 段 提供 区 域 边界 保护 ;以 数据 校 验 和 恶意 代码 防范 等 
手段 提供 数据 和 系统 的 完整 性 保护 。 

第 一 级 系统 安全 保护 环境 的 设计 通过 第 一 级 的 安全 计算 环境 、 安 全 区 域 边界 以 及 安全 通信 网 
络 的 设计 加 以 实现 。 


【条 款 解读 9】 
一 、 目 的 和 意 
描述 第 一 级 信息 系统 安全 保护 环境 的 安全 设计 策略 。 


第 二 章 《信息 系统 等 级 保护 安全 设计 技术 有 要求) 标准 解读 


二 、 解 释 和 示例 

GB/T 24856 一 2009 的 5.2( 设 计策 略 ,强调 第 一 级 信息 系统 安全 保护 环境 的 安全 设 
计 应 遵循 GB 17859 一 1999 的 4.1 的 相关 要 求 , 以 身份 鉴别 .访问 控制 和 传输 数据 完整 性 
保护 为 基本 的 安全 保护 机 制 ; 具 体 通过 对 安全 计算 环境 、 安 全 区 域 边界 以 及 安全 通信 网 络 
的 安全 设计 ,实现 第 一 级 信息 系统 安全 保护 环境 的 安全 设计 目标 。 

在 第 一 级 信息 系统 安全 保护 环境 的 安全 设计 中 ,安全 策略 应 是 对 实现 第 一 级 信息 系 
统 安全 保护 环境 安全 功能 的 安全 技术 、 机 制 、 原 理 和 方法 的 完整 描述 。 


1.3.3 ”安全 设计 技术 要 求 
【标准 条 款 】 


GB/T 24856 一 2009 


5.3 设计 技术 要 求 


【条 款 解读 10】 

一 、 目 的 和 意图 

描述 第 一 级 信息 系统 安全 保护 环境 的 安全 设计 技术 要 求 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 5.3( 设 计 技 术 要 求 ) ,从 安全 计算 环境 安全 设计 、 安 全 区 域 边 
界 安 全 设计 和 安全 通信 网 络 安全 设计 等 方面 ,对 第 一 级 信息 系统 安全 保护 环境 的 安全 设 
计 技 术 要 求 进行 描述 。 

计算 环境 和 通信 网 络 是 信息 系统 不 可 缺少 的 组 成 部 分 。 第 一 级 安全 计算 环境 ,是 按 
照 所 确定 的 第 一 级 信息 系统 安全 保护 环境 的 安全 设计 目标 和 安全 设计 策略 对 安全 计算 环 
境 的 安全 要 求 ,在 计算 环境 所 实现 的 计算 功能 的 基础 上 ,附加 实现 相应 安全 保护 功能 的 对 
计算 环境 进行 安全 保护 的 安全 技术 和 机 制 构成 的 具有 相应 安全 保护 能 力 的 安全 计算 环 
境 ; 第 一 级 安全 通信 和 网络, 是 按照 所 确定 的 第 一 级 信息 系统 安全 保护 环境 的 安全 设计 目标 
和 安全 设计 策略 对 通信 网 络 的 安全 要 求 ,在 通信 网 络 所 实现 的 通信 功能 的 基础 上 ,附加 实 
现 相 应 安全 保护 功能 的 对 通信 网 络 功能 进行 安全 保护 的 安全 技术 和 机 制 构成 的 具有 相应 
安全 保护 能 力 的 安全 通信 网 络 。 

安全 区 域 边界 是 专 为 在 安全 计算 环境 的 边界 进行 安全 保护 而 设置 的 。 第 一 级 安全 
区 域 边界 是 按照 确定 的 第 一 级 信息 系统 安全 保护 环境 的 安全 设计 目标 和 安全 设计 策 
略 对 区 域 边界 的 安全 要 求 , 采 用 具有 相应 安全 保护 能 力 的 安全 技术 和 安全 产品 构成 的 
区 域 边界 。 

安全 计算 环境 、 安 全 区 域 边界 和 安全 通信 和 网络 三 者 中 的 安全 机 制 协 同 运行 ,共同 实现 
第 一 级 信息 系统 的 安全 保护 目标 。 

有 关 第 一 级 信息 系统 安全 保护 环境 的 安全 设计 技术 要 求 的 进一步 解释 ,参见 条 款 解 
读 11、 条 款 解读 12 和 条 款 解读 13。 
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【标准 条 款 】 
GB/T 24856 一 2009 


5.3.1 安全 计算 环境 设计 技术 要 求 

第 一 级 安全 计算 环境 从 以 下 方面 进行 安全 设计 : 

a) 用 户 身 份 鉴别 

应 支持 用 户 标识 和 用 户 鉴别 。 在 每 一 个 用 户 注册 到 系统 时 ,采用 用 户 名 和 用 户 标识 符 标 识 用 
户 身份 ;在 每 次 用 户 登 录 系统 时 ,采用 口令 鉴别 机 制 进行 用 户 身 份 鉴别 ,并 对 口令 数据 进行 保护 。 

b) 自主 访问 控制 

应 在 安全 策略 控制 范围 内 ,使 用 户 / 用 户 组 对 其 创建 的 客体 具有 相应 的 访问 操作 权限 ,并 能 将 
这 些 权限 的 部 分 或 全 部 授予 其 他 用 户 / 用 户 组 。 访 问 控制 主体 的 粒度 为 用 户 / 用 户 组 级 ,客体 的 粒 
度 为 文件 或 数据 库 表 级 。 访 问 操作 包括 对 客体 的 创建 \ 读 、 写 ,修改 和 删除 等 。 

c) 用 户 数据 完整 性 保护 

可 采用 常规 校 验 机 制 ,检验 存储 的 用 户 数据 的 完整 性 ,以 发 现 其 完整 性 是 否 被 破坏 。 

d) 恶意 代码 防范 

应 安装 防 恶意 代码 软件 或 配置 具有 相应 安全 功能 的 操作 系统 ,并 定期 进行 升级 和 更 新 ,以 防范 
和 清除 恶意 代码 。 


【条 款 解 读 11】 

一 、 目 的 和 意图 

描述 第 一 级 信息 系统 安全 计算 环境 的 安全 设计 技术 要 求 。 

二 、 解 释 和 示例 

GB/T 24856 一 2009 的 5. 3. 1( 安 全 计算 环境 设计 技术 要 求 ), 从 用 户 身 份 鉴别 .自主 
访问 控制 .用 户 数据 完整 性 保护 、 亚 意 代 码 防范 等 方面 ,对 第 一 级 信息 系统 安全 计算 环境 
的 安全 设计 技术 要 求 进行 撒 述 。 

第 一 级 信息 系统 的 安全 计算 环境 ,要 求 对 计算 环境 进行 最 基本 的 安全 保护 ,主要 是 通 
过 选择 具有 第 一 级 安全 的 操作 系统 和 数据 库 管 理 系统 实现 对 安全 计算 环境 的 安全 保护 。 
第 一 级 安全 的 操作 系统 应 符合 GB/T 20272 一 2006《 信 息 安 全 技术 操作 系统 安全 技术 要 
求 ) 的 4. 1 关于 第 一 级 安全 操作 系统 的 基本 要 求 ; 第 一 级 安全 的 数据 库 管理 系统 应 符合 
GB/T 20273 一 2006《 信 息 安全 技术 数据 库 管 理 系 统 安 全 技术 要 求 ) 的 5. 1 关于 第 一 级 安 
全 操作 系统 的 基本 要 求 。 在 操作 系统 和 数据 库 管理 系统 中 应 采用 基本 的 用 户 身份 鉴别 、 
粗 粒 度 的 自主 访问 控制 和 用 户 数据 的 完整 性 保护 进行 安全 保护 ,以 及 通过 配置 防 病毒 软 
件 , 实 现 对 恶意 代码 的 防范 ,使 系统 能 正常 运行 。 


【标准 条 款 】 
GB/T 24856 一 2009 


5.3.2 安全 区 域 边 界 设 计 技术 要 求 


第 一 级 安全 区 域 边界 从 以 下 方面 进行 安全 设计 : 


小 3 .第 一 级 信息 系统 安全 保护 环境 设计 、: 


.第 二 章 《信息 系统 等 级 保护 安全 设计 技术 有 要求) 标准 解读 


a) 区 域 边界 包 过 滤 

可 根据 区 域 边界 安全 控制 策略 ,通过 检查 数据 包 的 源 地 址 .目的 地 址 、 传 输 层 协议 和 请 求 的 服 
务 等 ,确定 是 否 允 许 该 数据 包 通过 该 区 域 边界 。 

b) 区 域 边界 恶意 代码 防范 

可 在 安全 区 域 边界 设置 防 恶意 代码 软件 ,并 定期 进行 升级 和 更 新 ,以 防止 恶意 代码 人 侵 。 


【条 款 解读 12】 

一 、 目 的 和 意图 

描述 第 一 级 信息 系统 安全 区 域 边界 设计 的 安全 技术 要 求 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 5. 3.2( 安 全 区 域 边界 设计 技术 要 求 ), 从 区 域 边界 包 过 滤 、 区 


域 边界 恶意 代码 防范 等 方面 ,对 第 一 级 信息 系统 安全 区 域 边界 设计 的 安全 技术 要 求 进行 
描述 。 


第 一 级 信息 系统 的 安全 区 域 边界 ,通过 安全 区 域 边界 的 安全 设计 ,对 来 自 外 部 的 对 安 


全 计算 环境 的 攻击 进行 基本 的 安全 防护 ,具体 做 法 是 ,通过 选择 和 配置 符合 第 一 级 安全 要 
求 的 区 域 边界 包 过 滤 和 区 域 边界 恶意 代码 防范 的 安全 机 制 和 (或 ) 产 品 进行 边界 防护 ,以 
对 抗 来 自 外 部 的 攻击 。 


【标准 条 款 】 
GB/T 24856 一 2009 


5.3.3 安全 通信 网 络 设计 技术 要 求 
a) 通信 网 络 数据 传输 完整 性 保护 
可 采用 常规 校 验 机 制 ,检验 通信 网 络 数据 传输 的 完整 性 ,并 能 发 现 其 完整 性 被 破坏 。 


【条 款 解读 13】 

一 、 目 的 和 意图 

描述 第 一 级 信息 系统 安全 通信 网 络 的 安全 设计 技术 要 求 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 5. 3. 3( 安 全 通信 网 络 设计 技术 要 求 ), 提 出 安全 通信 网 络 安全 


设计 的 基本 技术 要 求 , 主 要 是 采用 各 种 常规 校 验 机 制 检验 道 信 网 络 传输 数据 的 完整 性 ,发 
现 其 完整 性 被 破坏 的 情况 。 


第 一 级 信息 系统 的 安全 通信 和 网络 ,通过 安全 通信 和 网络 的 安全 设计 ,对 通信 和 网络 的 安全 


运行 和 道 信和 网 络 所 传输 的 数据 进行 基本 的 安全 保护 ,具体 做 法 是 通过 采用 各 种 常规 的 符 
合 第 一 级 安全 要 求 的 完整 性 校 验 技术 和 机 制 ,发 现 通过 通信 网 络 传 输 的 用 户 数据 其 完整 
性 被 破坏 的 情况 。 
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_ 第 二 级 信息 系统 安全 保护 环境 设计 


【标准 条 款 】 
GB/T 24856 一 2009 


6 第 二 级 系统 安全 保护 环境 设计 


【条 款 解读 14】 

一 、 目 的 和 意图 

描述 第 二 级 信息 系统 安全 保护 环境 的 安全 设计 要 求 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 第 6 章 , 第 二 级 系统 安全 保护 环境 设计 ,从 设计 目标 、 设 计 
策略 和 设计 技术 要 求 等 方面 ,对 第 二 级 信息 系统 安全 保护 环境 的 安全 设计 要 求 进行 了 
描述 。 

有 关 第 二 级 信息 系统 安全 保护 环境 的 安全 设计 要 求 的 进一步 解释 ,参见 条 款 解 
读 15 一 条 款 解 读 17。 


1.4.1 安全 设计 目标 


【标准 条 款 】 
GB/T 24856—2009 


6.1 设计 目标 

第 二 级 系统 安全 保护 环境 的 设计 目标 是 , 按照 GB 17859 一 1999 对 第 二 级 系统 的 安全 保护 要 
求 ,在 第 一 级 系统 安全 保护 环境 的 基础 上 ,增加 系统 安全 审计 、 客 体重 用 等 安全 功能 ,并 实施 以 用 户 
为 基本 粒度 的 自主 访问 控制 ,使 系统 具有 更 强 的 自主 安全 保护 能 力 。 


【条 款 解 读 15】 

一 、 目 的 和 意图 

描述 第 二 级 信息 系统 安全 保护 环境 的 安全 设计 目标 。 

二 、 解 释 和 示例 

GB/T 24856 一 2009 的 6.1( 设 计 目 标 ) ,对 第 二 级 信息 系统 安全 保护 环境 的 安全 设计 
目标 进行 了 描述 。 强 调 第 二 级 信息 系统 安全 保护 环境 的 安全 设计 是 对 GB 17859 一 1999 
系统 审计 保护 级 安全 保护 要 求 的 具体 实现 ,是 在 第 一 级 系统 安全 保护 环境 所 设置 的 安全 
机 制 的 基础 上 ,通过 增加 和 增强 安全 机 制 , 从 系统 角度 对 用 户 所 属 客体 进行 安全 保护 。 安 
全 设计 目标 是 达到 使 系统 具有 更 强 的 自主 安全 保护 能 力 的 水 平 。 

第 二 级 信息 系统 安全 保护 环境 的 安全 设计 目标 ,应 根据 信息 安全 等 级 保护 的 有 关 政 
策 法 规 ( 如 公 通 字 [2004]66 号 文件 和 公 通 字 [2007]43 号 文件 等 ) 对 第 二 级 信息 系统 安全 
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要 求 的 描述 ,按照 风险 分 析 方 法 所 确定 的 目标 信息 系统 的 安全 需求 ,以 及 信息 安全 等 级 保 
护 相关 标准 对 适用 于 第 二 级 信息 系统 的 安全 要 素 和 安全 产品 的 具 休 要求 ,综合 分 析 进 行 
确定 。 


1.4.2 ”安全 设计 策略 


【标准 条 款 】 
GB/T 24856 一 2009 


6.2 设计 策略 

第 二 级 系统 安全 保护 环境 的 设计 策略 是 : 遵循 GB 17859 一 1999 的 4.2 中 相关 要 求 ,以 身份 鉴 
别 为 基础 ,提供 单个 用 户 和 (或 ) 用 户 组 对 共享 文件 ,数据 库 表 等 的 自主 访问 控制 ;以 包 过 滤 手 段 提 
供 区 域 边界 保护 ;以 数据 校 验 和 恶意 代码 防范 等 手段 ,同时 通过 增加 系统 安全 人 审计、 客体 安全 重用 
等 功能 ,使 用 户 对 自己 的 行为 负责 ,提供 用 户 数 据 保 密 性 和 完整 性 保护 ,以 增强 系统 的 安全 保护 
能 力 。 

第 二 级 系统 安全 保护 环境 的 设计 通过 第 二 级 的 安全 计算 环境 安全 区 域 边界 .安全 通信 网 络 以 
及 安全 管理 中 心 的 设计 加 以 实现 。 


【条 款 解读 16】 

一 、 目 的 和 意图 

描述 第 二 级 信息 系统 安全 保护 环境 的 安全 设计 策略 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 6.2( 设 计策 略 ) ,强调 第 二 级 信息 系统 安全 保护 环境 的 安全 设 


计 应 遵循 GB 17859 一 1999 的 4.2 的 相关 要 求 , 在 第 一 级 安全 设计 的 基础 上 ,增强 自主 访 
问 控制 增加 安全 审计 和 客体 安全 重用 等 安全 机 制 ,实现 数据 存储 和 传输 的 完整 性 和 保密 
性 保护 ;具体 通过 对 安全 计算 环境 、 安 全 区 域 边界 .安全 通信 网 络 的 安全 设计 ,以 及 以 安全 
管理 中 心 的 设计 实现 第 二 级 信息 系统 安全 保护 环境 的 安全 设计 目标 。 


在 第 二 级 信息 系统 安全 保护 环境 的 安全 设计 中 ,安全 策略 应 是 对 实现 第 二 级 信息 系 


统 安全 保护 环境 安全 功能 的 安全 技术 、 机 制 、 原 理 和 方法 的 完整 描述 。 


1.4.3 ”安全 设计 技术 要 求 


【标准 条 款 】 
GB/T 24856 一 2009 


6.3 设计 技术 要 求 


a 16 a 


【条 款 解读 17】 
一 、 目 的 和 意图 
描述 第 二 级 信息 系统 安全 保护 环境 的 安全 设计 技术 要 求 。 
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二 、 解 释 和 示例 

GB/T 24856 一 2009 的 6. 3( 设 计 技术 要 求 ), 从 安全 计算 环境 安全 设计 、 安 全 区 域 边 
界 安全 设计 、 安 全 通信 网 络 安全 设计 和 安全 管理 中 心 设计 等 方面 ,对 第 二 级 信息 系统 安全 
保护 环境 的 安全 设计 技术 要 求 进行 描述 。 

计算 环境 和 通信 网 络 是 信息 系统 不 可 缺少 的 组 成 部 分 。 第 二 级 安全 计算 环境 ,是 按 
照 所 确定 的 第 二 级 信息 系统 安全 保护 环境 的 安全 设计 目标 和 安全 设计 策略 对 安全 计算 环 
境 的 安全 要 求 ,在 计算 环境 所 实现 的 计算 功能 的 基础 上 ,附加 实现 相应 安全 保护 功能 的 对 
计算 环境 进行 安全 保护 的 安全 技术 和 机 制 构成 的 具有 相应 安全 保护 能 力 的 安全 计算 环 
境 ; 第 二 级 安全 通信 和 网络, 是 按照 所 确定 的 第 二 级 信息 系统 安全 保护 环境 的 安全 设计 目标 
和 安全 设计 策略 对 通信 网 络 的 安全 要 求 ,在 通信 网 络 所 实现 的 通信 功能 的 基础 上 ,附加 实 
现 相 应 安全 保护 功能 的 对 通信 网 络 功能 进行 安全 保护 的 安全 技术 和 机 制 构成 的 具有 相应 
安全 保护 能 力 的 安全 通信 网 络 。 

安全 区 域 边界 是 专 为 在 安全 计算 环境 的 边界 进行 安全 保护 而 设置 的 。 第 二 级 安全 区 
域 边界 是 按照 确定 的 第 二 级 信息 系统 安全 保护 环境 的 安全 设计 目标 和 安全 设计 策略 对 区 
域 边界 的 安全 要 求 , 采 用 具有 相应 安全 保护 能 力 的 安全 技术 和 安全 产品 构成 的 区 域 边界 。 

安全 管理 中 心 是 专 对 信息 系统 安全 保护 环境 进行 集中 管理 设置 的 。 第 二 级 信息 系统 
安全 保护 环境 的 安全 管理 中 心 ,统一 管理 和 控制 系统 中 的 安全 审计 机 制 ,汇集 、 存 储 并 分 
析 来 自 各 安全 机 制 和 产品 的 审计 信息 。 

安全 计算 环境 、 安 全 区 域 边 界 和 安全 通信 网 络 三 者 中 的 安全 机 制 , 以 及 安全 管理 中 心 
协同 运行 ,共同 实现 第 二 级 信息 系统 的 安全 保护 目标 。 

第 二 级 信息 系统 安全 保护 环境 的 安全 设计 应 特别 注重 对 系统 安全 审计 的 设计 。 安 全 
审计 机 制 贯穿 于 整个 安全 系统 的 设计 之 中 ,使 之 成 为 一 个 整体 。 安 全 审计 虽然 不 是 一 种 
对 攻击 和 破坏 直接 进行 对 抗 的 安全 技术 ,但 是 完备 的 安全 审计 系统 和 完整 的 具有 良好 可 
用 性 的 审计 日 志 , 能 够 有 效 地 提供 安全 事件 的 可 查 性 。 安 全 审计 与 严格 的 身份 鉴别 相 结 
合 ,可 将 安全 事件 落实 到 具体 的 用 户 ,从 而 具有 很 强 的 威慑 作用 。 

第 二 级 信息 系统 安全 保护 环境 的 安全 设计 ,应 注意 在 安全 计算 环境 、 安 全 区 域 边界 和 
安全 通信 和 网络 中 ,将 安全 审计 和 恶意 代码 防范 等 安全 机 制 的 设置 统一 进行 考虑 ,使 之 成 为 
一 个 实现 全 系统 安全 保护 的 整体 。 

有 关 第 二 级 信息 系统 安全 保护 环境 的 安全 设计 技术 要 求 的 进一步 解释 ,参见 条 款 解 
读 18 至 条 款 解读 21。 


【标准 条 款 】 
GB/T 24856—2009 


6.3.1 安全 计算 环境 设计 技术 要 求 

第 二 级 安全 计算 环境 从 以 下 方面 进行 安全 设计 : 

a) 用 户 身份 鉴别 

应 支持 用 户 标 识 和 用 户 鉴别 。 在 对 每 一 个 用 户 注册 到 系统 时 ,采用 用 户 名 和 用 户 标 识 符 标 识 


户 身 份 , 并 确保 在 系统 整个 生存 周期 用 户 标 识 的 唯一 性 ;在 每 次 用 户 登 录 系 统 时 ,采用 受 控 的 口 
令 或 具有 相应 安全 强度 的 其 他 机 制 进行 用 户 身份 鉴别 ,并 对 鉴别 数据 进行 保密 性 和 完整 性 保护 。 


118 sm 


.第 工 章 .《 信 息 系 统 等 级 保护 安全 设计 技术 有 要求 ?标准 解读 


b) 自主 访问 控制 

应 在 安全 策略 控制 范围 内 ,使 用 户 对 其 创建 的 客体 具有 相应 的 访问 操作 权限 ,并 能 将 这 些 权限 
的 部 分 或 全 部 授予 其 他 用 户 。 访 问 控 制 主体 的 粒度 为 用 户 级 ,客体 的 粒度 为 文件 或 数据 库 表 级 。 
访问 操作 包括 对 客体 的 创建 . 读 、 写 、 修 改 和 删除 等 。 

c) 系统 安全 审计 

应 提供 安全 审计 机 制 ,记录 系统 的 相关 安全 事件 。 审 计 记录 包括 安全 事件 的 主体 \ 客 体 \ 时 间 、 
类 型 和 结果 等 内 容 。 该 机 制 应 提供 审计 记录 查询 ,分 类 和 存储 保护 ,并 可 由 安全 管理 中 心 管理 。 

d) 用 户 数据 完整 性 保护 

可 采用 常规 校 验 机 制 ,检验 存储 的 用 户 数据 的 完整 性 ,以 发 现 其 完整 性 是 否 被 破坏 。 

e) 用 户 数 据 保密 性 保护 

可 采用 密码 等 技术 支持 的 保密 性 保护 机 制 ,对 在 安全 计算 环境 中 存储 和 处 理 的 用 户 数 据 进 行 
保密 性 保护 。 

f) 客体 安全 重用 

应 采用 具有 安全 客体 复 用 功能 的 系统 软件 或 具有 相应 功能 的 信息 技术 产品 ,对 用 户 使 用 的 客 
体 资源 ,在 这 些 客体 资源 重新 分 配 前 ,对 其 原 使 用 者 的 信息 进行 清除 ,以 确保 信息 不 被 泄露 。 

g) 恶意 代码 防范 

应 安装 防 恶 意 代码 软件 或 配置 具有 相应 安全 功能 的 操作 系统 ,并 定期 进行 升级 和 更 新 ,以 防范 
和 清除 恶意 代码 。 


【条 款 解读 18】 

一 、 目 的 和 意图 

描述 第 二 级 信息 系统 安全 计算 环境 的 安全 设计 技术 要 求 。 

二 、 解 释 和 示例 

GB/T 24856 一 2009 的 6. 3. 1( 安 全 计算 环境 设计 技术 要 求 ), 从 用 户 身 份 鉴别 、 自 
主 访问 控制 、 系 统 安全 审计 、 用 户 数 据 完整 性 保护 、 用 户 数 据 保密 性 保护 、 客 体 安全 重 
用 、 恶 意 代 码 防 范 等 方面 ,对 第 二 级 信息 系统 安全 计算 环境 的 安全 设计 技术 要 求 进行 
描述 。 

第 二 级 信息 系统 的 安全 计算 环境 ,要 求 对 计算 环境 进行 一 定 程度 的 安全 保护 ,选择 具 
有 第 二 级 安全 的 操作 系统 和 数据 库 管理 系统 实现 对 安全 计算 环境 的 安全 保护 。 第 二 级 安 
全 的 操作 系统 应 符合 GB/T 20272 一 2006《 信 息 安全 技术 操作 系统 安全 技术 要 求 》 的 
4.2 关于 第 二 级 安全 操作 系统 的 基本 要 求 ; 第 二 级 安全 的 数据 库 管理 系统 应 符合 
GB/T 20273 一 2006《 信 息 安 全 技术 数据 库 管理 系统 安全 技术 要 求 ) 的 5. 2 关于 第 二 级 安 
全 数据 库 管理 系统 的 基本 要 求 。 在 操作 系统 和 数据 库 管 理 系统 中 , 应 采用 增强 管理 的 
用 户 身份 鉴别 (包括 在 整个 系统 生存 周期 用 户 标识 的 唯一 性 和 对 口令 鉴别 信息 在 长 度 
和 字符 选择 方面 的 增强 要 求 ), 中 粒度 的 自主 访问 控制 和 较 强 安全 性 的 用 户 数据 的 完 
整 性 保护 ,以 及 包括 客体 安全 重用 在 内 的 用 户 数据 保密 性 保护 ,并 通过 较 完整 的 恶意 
代码 的 防范 措施 ,及 时 进行 产品 升级 和 数据 更 新 ,来 对 抗 计算 机 病毒 的 侵袭 ,确保 系统 
正常 运行 。 
第 二 级 信息 系统 的 安全 计算 环境 的 安全 审计 机 制 是 分 散在 安全 操作 系统 和 安全 数据 


工业 .第 二 级 信息 系统 安全 保护 环境 设计 


库 管理 系统 以 及 其 他 安全 机 制 和 安全 产品 之 中 的 ,在 进行 安全 计算 机 环境 的 安全 机 制 设 
置 和 安全 产品 选择 时 ,应 注意 其 中 的 审计 机 制 与 安全 管理 中 心 的 安全 审计 集中 管理 有 一 
致 的 标准 接口 。 

安全 区 域 边界 的 恶意 代码 防范 应 与 安全 计算 环境 的 恶意 代码 防范 整体 考虑 ,通过 选 
取 相 应 的 防 病毒 产品 ,共同 实现 防 恶 意 代码 侵犯 的 目标 。 


【标准 条 款 】 
GB/T 24856 一 2009 


6.3.2 安全 区 域 边 界 设 计 技 术 要 求 

第 二 级 安全 区 域 边界 从 以 下 方面 进行 安全 设计 : 

a) 区 城 边界 包 过 滤 

应 根据 区 域 边界 安全 控制 策略 ,通过 检查 数据 包 的 源 地 址 \ 目 的 地 址 \ 传 输 层 协议 和 请 求 的 服 
务 等 ,确定 是 否 允 许 该 数据 包 通 过 该 区 域 边界 。 

b) 区 域 边界 安全 审计 

应 在 安全 区 域 边界 设置 审计 机 制 , 并 由 安全 管理 中 心 统一 管理 。 

c) 区 域 边 界 恶意 代码 防范 

应 在 安全 区 域 边 界 设置 防 恶意 代码 网 关 ,由 安全 管理 中 心 管理 。 

d) 区 域 边 界 完 整 性 保护 

应 在 区 域 边 界 设置 探测 器 ,探测 非法 外 联 等 行为 ,并 及 时 报告 安全 管理 中 心 。 


【条 款 解读 19】 

一 、 目 的 和 意图 

描述 第 二 级 信息 系统 安全 区 域 边界 设计 的 安全 技术 要 求 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 6. 3. 2( 安 全 区 域 边界 设计 技术 要 求 ), 从 区 域 边界 包 过 滤 、 区 
域 边界 安全 审计 、 区 域 边界 恶意 代码 防范 以 及 区 域 边界 完整 性 保护 等 方面 ,对 第 二 级 信息 
系统 安全 区 域 边界 设计 的 安全 技术 要 求 进行 描述 。 

第 二 级 信息 系统 的 安全 区 域 边界 ,要 求 通过 安全 区 域 边界 的 安全 设计 ,对 来 自 外 部 的 
对 安全 计算 环境 的 攻击 进行 一 般 性 的 安全 防护 ,具体 做 法 是 ,在 第 一 级 安全 区 域 边界 安全 
设计 的 基础 上 ,通过 选择 和 配置 具有 符合 第 二 级 安全 要 求 的 区 域 边界 包 过 滤 、 区 域 边界 亚 
意 代码 防范 和 区 域 边界 完整 性 保护 等 安全 机 制 和 (或 ) 产 品 ,进行 边界 防护 ,并 通过 设置 安 
全 审计 机 制 ,增强 安全 保护 能 力 , 以 对 抗 来 自 外 部 的 攻击 。 

第 二 级 信息 系统 的 安全 区 域 边界 的 安全 审计 机 人 制 是 分 散在 区 域 边界 包 过 滤 和 区 域 边 
界 完整 性 保护 等 安全 机 制 和 产品 之 中 的 ,在 进行 安全 区 域 边 界 的 安全 机 制 设置 和 安全 产 
品 选择 时 ,应 注意 其 中 的 审计 机 制 与 安全 管理 中 心 的 安全 审计 集中 管理 有 一 致 的 标准 
接口 。 

安全 区 域 边界 的 恶意 代码 防范 应 从 安全 计算 环境 的 恶意 代码 防范 整体 考虑 ,通过 选 
取 相 应 的 防 病毒 产品 ,共同 实现 防 恶意 代码 侵犯 的 目标 。 


.第 工 章 .《 信 息 系 统 等 级 保护 安全 设计 技术 有 要求 ?标准 解读 


【标准 条 款 】 
GB/T 24856 一 2009 


6.3.3 安全 通信 网 络 设计 技术 要 求 

第 二 级 安全 通信 网 络 从 以 下 方面 进行 安全 设计 : 

a) 通信 网 络 安全 审计 

应 在 安全 通信 网 络 设置 审计 机 制 ,由 安全 管理 中 心 管理 。 

b) 通信 网 络 数据 传输 完整 性 保护 

可 采用 由 密码 等 技术 支持 的 完整 性 校 验 机 制 , 以 实现 通信 网 络 数据 传输 完整 性 保护 。 
c) 通信 网络 数据 传输 保密 性 保护 

可 采用 由 密码 等 技术 支持 的 保密 性 保护 机 制 , 以 实现 通信 网 络 数据 传输 保密 性 保护 。 


【条 款 解 读 20】 

一 、 目 的 和 意图 

描述 第 二 级 信息 系统 安全 通信 网 络 的 安全 设计 技术 要 求 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 6. 3. 3( 安 全 通信 网 络 设计 技术 要 求 ), 从 通信 网 络 安全 审计 、 
通信 网 络 数据 传输 完整 性 保护 .通信 网 络 数据 传输 保密 性 保护 等 方面 ,对 第 二 级 信息 系统 
安全 通信 网 络 的 安全 设计 技术 要 求 进行 描述 。 

第 二 级 信息 系统 的 安全 通信 网 络 , 通 过 安全 通信 网 络 的 安全 设计 ,对 通信 网 络 的 安全 
运行 和 通信 网 络 所 传输 的 数据 进行 一 般 性 的 安全 保护 ,具体 做 法 是 ,在 第 一 级 安全 通信 网 
络 安全 设计 的 基础 上 ,通过 选择 和 配置 具有 符合 第 二 级 安全 要 求 的 通信 网络 安全 审计 、 通 
信和 网 络 数据 传输 完整 性 和 保密 性 保护 的 安全 机 制 和 (或 ) 产 品 ,实现 通 信和 网 络 的 安全 保护 。 

第 二 级 信息 系统 的 安全 通信 网络 的 安全 审计 机 制 是 分 散在 道 信 网 络 数据 传输 完整 性 
保护 和 通信 网络 数据 传输 保密 性 保护 等 安全 机 制 和 产品 之 中 的 ,在 进行 安全 通信 和 网络 的 
安全 机 制 设置 和 安全 产品 选择 时 ,应 注意 其 中 的 审计 机 制 与 安全 管理 中 心 的 安全 审计 集 
中 管理 有 一 致 的 标准 接口 。 


【标准 条 款 】 
GB/T 24856 一 2009 


6.3.4 安全 管理 中 心 设计 技术 要 求 

6.3.4.1 系统 管理 

可 通过 系统 管理 员 对 系统 的 资源 和 运行 进行 配置 .控制 和 管理 ,包括 用 户 身份 和 授权 管理 、 系 
统 资源 配置 系统 加 载 和 启动 、 系 统 运行 的 异常 处 理 、 数 据 和 设备 的 备份 与 恢复 以 及 恶意 代码 防 
范 等 。 

应 对 系统 管理 员 进 行 身份 鉴别 ,只 允许 其 通过 特定 的 命令 或 操作 界面 进行 系统 管理 操作 ,并 对 
这 些 操 作 进 行 审 计 。 
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6. 3.4.2 审计 管理 

可 通过 安全 审计 员 对 分 布 在 系统 各 个 组 成 部 分 的 安全 审计 机 制 进行 集中 管理 ,包括 根据 安全 
审计 策略 对 审计 记录 进行 分 类 ;提供 按时 间 段 开启 和 关闭 相应 类 型 的 安全 审计 机 制 ; 对 各 类 审计 记 
录 进 行 存储 、 管 理 和 查询 等 。 

应 对 安全 审计 员 进行 身 份 鉴别 ,并 只 人 允许 其 通过 特定 的 命令 或 操作 界面 进行 安全 审计 操作 。 


【条 款 解 读 21] 

一 、 目 的 和 意图 

描述 第 二 级 信息 系统 安全 管理 中 心 设计 的 技术 要 求 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 6. 3.4( 安 全 管理 中 心 设计 技术 要 求 ), 从 系统 管理 和 审计 管理 
等 方面 ,对 第 二 级 信息 系统 安全 管理 中 心 设计 技术 要 求 进行 描述 。 

第 二 级 信息 系统 的 安全 管理 中 心 的 设计 ,是 在 信息 系统 原 有 系统 管理 的 基础 上 ,通过 
对 分 布 在 安全 计算 环境 、 安 全 区 域 边界 和 安全 通信 网 络 等 各 组 成 部 分 中 的 安全 审计 的 集 
中 管理 ,增强 信息 系统 各 安全 机 制 的 整体 安全 保护 能 力 。 

第 二 级 信息 系统 安全 管理 中 心安 全 审计 管理 ,是 对 分 散在 安全 计算 环境 安全 区 域 边 
界 和 安全 通信 网 络 中 的 各 安全 审计 机 制 实施 集中 管理 的 机 制 。 在 进行 安全 审计 管理 的 设 
计 或 选择 相应 的 安全 审计 集中 管理 产品 时 ,应 注意 其 与 分 散在 安全 计算 环境 、 安 全 区 域 边 
界 和 安全 通信 网 络 的 各 安全 机 制 具有 一 致 的 标准 接口 。 
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【条 款 解读 22】 

一 、 目 的 和 意图 

描述 第 三 级 信息 系统 安全 保护 环境 的 安全 设计 要 求 。 

二 、 解 释 和 示例 

GB/T 24856 一 2009 的 第 7 章 ( 第 三 级 系统 安全 保护 环境 设计 ), 从 设计 目标 、 设 计策 
略 和 设计 技术 要 求 等 各 方面 ,对 第 三 级 信息 系统 的 安全 保护 环境 的 安全 设计 要 求 进行 
描述 。 

有 关 第 三 级 系统 安全 保护 环境 的 安全 设计 要 求 的 进一步 解释 ,参见 条 款 解读 23 一 条 
款 解 读 25。 


第 二 章 《信息 系统 等 级 保护 安全 设计 技术 有 要求) 标准 解读 


1.5.1 安全 设计 目标 


【标准 条 款 】 
GB/T 24856 一 2009 


7.1 设计 目标 

第 三 级 系统 安全 保护 环境 的 设计 目标 是 : 按照 GB 17859 一 1999 对 第 三 级 系统 的 安全 保护 要 
求 ,在 第 二 级 系统 安全 保护 环境 的 基础 上 ,通过 实现 基于 安全 策略 模型 和 标记 的 强制 访问 控制 以 及 
增强 系统 的 审计 机 制 ,使 系统 具有 在 统一 安全 策略 管控 下 ,保护 敏感 资源 的 能 力 。 


【条 款 解 读 23】 

一 、 目 的 和 意图 

描述 第 三 级 信息 系统 安全 保护 环境 的 安全 设计 目标 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 7.1( 设 计 目 标 ) ,对 第 三 级 信息 系统 安全 保护 环境 的 安全 设计 
目标 进行 了 描述 。 强 调 第 三 级 信息 系统 安全 保护 环境 的 安全 设计 是 对 GB 17859 一 1999 
系统 审计 保护 级 安全 保护 要 求 的 具体 实现 ,是 在 第 二 级 信息 系统 安全 保护 环境 所 提供 的 
安全 机 制 的 基础 上 ,通过 增加 标记 与 强制 访问 控制 等 安全 机 制 ,使 系统 在 安全 管理 中 
心 统一 的 安全 策略 管控 下 ,提供 对 重要 信息 系统 的 安全 运行 和 数据 进行 安全 保护 的 能 
力 。 安 全 设计 目标 是 达到 整个 信息 系统 的 安全 保护 能 力 , 并 能 够 抵御 各 种 常见 攻击 的 
水 平 。 

第 三 级 信息 系统 安全 保护 环境 的 安全 设计 目标 ,应 根据 信息 安全 等 级 保护 的 有 关 政 
策 法 规 (如 公 通 字 [2004]66 号 文件 和 公 通 字 [2007]43 号 文件 等 ) 对 第 三 级 信息 系统 安全 
要 求 的 描述 ,按照 风险 分 析 的 方法 所 确定 的 目标 信息 系统 的 安全 需求 ,以 及 信息 安全 等 级 
保护 相关 标准 对 适用 于 第 三 级 信息 系统 的 安全 要 素 和 安全 产品 的 具体 要 求 , 综 合 分 析 进 

1.5.2 ”安全 设计 策略 


【标准 条 款 】 
GB/T 24856 一 2009 


7.2 设计 策略 

第 三 级 系统 安全 保护 环境 的 设计 策略 是 : 在 第 二 级 系统 安全 保护 环境 的 基础 上 ,遵循 
GB 17859 一 1999 的 4. 3 中 相关 要 求 ,构造 非 形式 化 的 安全 策略 模型 ,对 主 、 客 体 进 行 安全 标记 ,表明 
主客 体 的 级 别 分 类 和 非 级 别 分 类 的 组 合 ,以 此 为 基础 ,按照 强制 访问 控制 规则 实现 对 主体 及 其 客 
体 的 访问 控制 。 

第 三 级 系统 安全 保护 环境 的 设计 通过 第 三 级 的 安全 计算 环境 、 安 全 区 域 边界 、 安 全 通信 网 络 以 
及 安全 管理 中 心 的 设计 加 以 实现 。 
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【条 款 解 读 24】 

一 、 目 的 和 意图 

描述 第 三 级 信息 系统 安全 保护 环境 的 安全 设计 策略 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 7.2( 设 计策 略 ) ,强调 第 三 级 信息 系统 安全 保护 环境 的 安全 设 
计 应 遵循 GB 17859 一 1999 的 4. 3 的 相关 要 求 ,在 第 二 级 安全 设计 的 基础 上 ,通过 构建 非 
形式 化 的 安全 策略 模型 ,增加 标记 和 强制 访问 控制 等 安全 机 制 ,使 系统 的 安全 性 有 明显 的 提 
升 , 并 对 数据 存储 和 传输 保护 等 其 他 安全 功能 的 安全 性 有 一 个 较 大 的 提高 ,使 之 与 强制 访问 
控制 相 匹 配 ;具体 做 法 是 通过 对 安全 计算 环境 、 安 全 区 域 边 界 、 安 全 通信 网 络 的 安全 设计 ,以 
及 以 安全 管理 中 心 的 设计 ,实现 第 三 级 信息 系统 安全 保护 环境 的 安全 设计 目标 。 

在 第 三 级 信息 系统 安全 保护 环境 的 安全 设计 中 ,安全 策略 应 是 对 实现 第 三 级 信息 系 
统 安全 保护 环境 安全 功能 的 安全 技术 、 机 制 、 原 理 和 方法 的 完整 描述 。 


1.5.3 安全 设计 技术 要 求 


【标准 条 款 】 
GB/T 24856 一 2009 


7.3 设计 技术 要 求 


【条 款 解读 25】 

一 、 目 的 和 意图 

描述 第 三 级 信息 系统 安全 保护 环境 的 安全 设计 技术 要 求 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 7.3( 设 计 技 术 要 求 ) ,从 安全 计算 环境 安全 设计 、 安 全 区 域 边 
界 安全 设计 、 安 全 通信 网 络 安全 设计 和 安全 管理 中 心 设计 等 方面 ,对 第 三 级 信息 系统 安全 
保护 环境 的 安全 设计 技术 要 求 进行 描述 。 

计算 环境 和 通信 网 络 是 信息 系统 不 可 缺少 的 组 成 部 分 。 第 三 级 安全 计算 环境 ,是 按 
照 所 确定 的 第 三 级 信息 系统 安全 保护 环境 的 安全 设计 目标 和 安全 设计 策略 对 安全 计算 环 
境 的 安全 要 求 ,在 计算 环境 所 实现 的 计算 功能 的 基础 上 ,附加 实现 相应 安全 保护 功能 的 对 
计算 环境 进行 安全 保护 的 安全 技术 和 机 制 构成 的 具有 相应 安全 保护 能 力 的 安全 计算 环 
境 ; 第 三 级 安全 通信 网络 ,是 按照 所 确定 的 第 三 级 信息 系统 安全 保护 环境 的 安全 设计 目标 
和 安全 设计 策略 对 通信 网 络 的 安全 要 求 ,在 通信 网 络 所 实现 的 通信 功能 的 基础 上 ,附加 实 
现 相 应 安全 保护 功能 的 对 通信 网 络 功 能 进行 安全 保护 的 安全 技术 和 机 制 构成 的 具有 相应 
安全 保护 能 力 的 安全 通信 和 网络。 

安全 区 域 边界 是 专 为 在 安全 计算 环境 的 边界 进行 安全 保护 面 设置 的 。 第 三 级 安全 区 
域 边界 是 按照 确定 的 第 三 级 信息 系统 安全 保护 环境 的 安全 设计 目标 和 安全 设计 策略 对 区 
域 边界 的 安全 要 求 , 采 用 具有 相应 安全 保护 能 力 的 安全 技术 和 安全 产品 构成 的 区 域 边界 。 
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.第 工 章 . 《信息 系统 等 级 保护 安全 设计 技术 有 要求 ?标准 解读 


安全 管理 中 心 是 专 为 对 信息 系统 安全 保护 环境 进行 集中 管理 设置 的 。 第 三 级 信息 系 
统 安全 保护 环境 的 安全 管理 中 心 统一 管理 和 控制 系统 中 需要 进行 集中 管理 的 安全 策略 和 
分 布 式 安全 机 制 ,包括 需要 进行 的 主客 体 统一 标记 、 主 体 授权 和 强制 访问 控制 ,以 及 分 散 
在 系统 各 组 成 部 分 的 需要 进行 集中 控制 和 管理 的 各 种 安全 机 制 的 管理 。 

安全 计算 环境 、 安 全 区 域 边界 和 安全 通信 网 络 三 者 中 的 安全 机 制 ,在 安全 管理 中 心 的 
管理 之 下 ,实施 统一 的 安全 策略 ,协同 运行 ,共同 实现 第 三 级 信息 系统 的 安全 保护 目标 。 

第 三 级 信息 系统 的 安全 保护 环境 ,应 对 信息 系统 进行 较 高 程度 的 安全 保护 ,在 第 二 级 
安全 保护 环境 安全 设计 的 基础 上 ,通过 在 安全 计算 环境 和 安全 区 域 边界 实施 强制 访问 控 
制 , 使 安全 计算 环境 的 抗 攻 击 能 力 得 到 较 大 提高 ,同时 要 求 在 用 户 身 份 鉴别 用户 数 据 的 
完整 性 保护 和 保密 性 保护 等 方面 , 均 达 到 与 强制 访问 控制 相 匹 配 的 水 平 。 比 如 ,采用 较 完 
整 的 密码 体系 ,实现 用 户 身份 鉴别 、 签 名 、 验 证 、 抗 抵赖 ,实现 用 户 数据 的 保密 人 性、 完整 性 保 
护 , 以 及 程序 可 信 执 行 保护 等 ,并 通过 较 完 整 的 安全 管理 中 心 实现 对 整个 信息 系统 安全 保 
护 环境 安全 策略 的 统一 管理 。 

有 关 第 三 级 信息 系统 安全 保护 环境 安全 设计 技术 要 求 的 进一步 解释 ,参见 条 款 解 
读 26 一 条 款 解读 29。 


【标准 条 款 】 
GB/T 24856 一 2009 


7.3.1 安全 计算 环境 设计 技术 要 求 

第 三 级 安全 计算 环境 从 以 下 方面 进行 安全 设计 : 

a) 用 户 身份 鉴别 

应 支持 用 户 标 识 和 用 户 鉴别 。 在 对 每 一 个 用 户 注 册 到 系统 时 ,采用 用 户 名 和 用 户 标识 符 标 识 
日 户 身份 ,并 确保 在 系统 整个 生存 周期 用 户 标 识 的 唯一 性 ;在 每 次 用 户 登录 系统 时 ,采用 受 安 全 管 
理 中 心 控制 的 口令 、 令 牌 、 基 于 和 牛 物 特征 、 数 字 证 书 以 及 其 他 具有 相应 安全 强度 的 两 种 或 两 种 以 上 
的 组 合 机 制 进行 用 户 身 份 鉴别 ,并 对 鉴别 数据 进行 保密 性 和 完整 性 保护 。 

b) 自主 访问 控制 

应 在 安全 策略 控制 范围 内 ,使 用 户 对 其 创建 的 客体 具有 相应 的 访问 操作 权限 ,并 能 将 这 些 权 限 
的 部 分 或 全 部 授予 其 他 用 户 。 自 主 访问 控制 主体 的 粒度 为 用 户 级 ,客体 的 粒度 为 文件 或 数据 库 表 
级 和 (或 ) 记 录 或 字段 级 。 自 主 访问 操作 包括 对 客体 的 创建 \ 读 \ 写 ,修改 和 删除 等 。 

c) 标记 和 强制 访问 控制 

在 对 安全 管理 员 进 行 身份 鉴别 和 权限 控制 的 基础 上 ,应 由 安全 管理 员 通过 特定 操作 界面 对 主 、 
客体 进行 安全 标记 ;应 按 安全 标记 和 强制 访问 控制 规则 ,对 确定 主体 访问 客体 的 操作 进行 控制 。 强 
制 访问 控制 主体 的 粒度 为 用 户 级 ,客体 的 粒度 为 文件 或 数据 库 表 级 。 应 确保 安全 计算 环境 内 的 所 
有 主 、 客 体 具 有 一 致 的 标记 信息 ,并 实施 相同 的 强制 访问 控制 规则 。 
d) 系统 安全 审计 
应 记录 系统 的 相关 安全 事件 。 审 计 记录 包括 安全 事件 的 主体 、 客 体 \ 时 间 、 类 型 和 结果 等 内 容 。 
应 提供 审计 记录 查询 ,分 类 分 析 和 存储 保护 ;能 对 特定 安全 事件 进行 报警 ;确保 审计 记录 不 被 破坏 
或 非 授 权 访 问 。 应 为 安全 管理 中 心 提供 接口 ;对 不 能 由 系统 独立 处 理 的 安全 事件 ,提供 由 授权 主体 
调用 的 接口 。 
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e) 用 户 数据 完整 性 保护 

应 采用 密码 等 技术 支持 的 完整 性 校 验 机 制 ,检验 存储 和 处 理 的 用 户 数据 的 完整 性 ,以 发 现 其 完 
整 性 是 否 被 破坏 , 且 在 其 受到 破坏 时 能 对 重要 数据 进行 恢复 。 

fy 用 户 数据 保密 性 保护 

采用 密码 等 技术 支持 的 保密 性 保护 机 制 , 对 在 安全 计算 环境 中 存储 和 处 理 的 用 户 数据 进行 保 
密 性 保护 。 

g) 客体 安全 重用 

应 采用 具有 安全 客体 复 用 功能 的 系统 软件 或 具有 相应 功能 的 信息 技术 产品 ,对 用 户 使 用 的 客 
体 资源 ,在 这 些 客体 资源 重新 分 配 前 ,对 其 原 使 用 者 的 信息 进行 清除 ,以 确保 信息 不 被 泄露 。 

h) 程序 可 信 执 行 保护 

可 构建 从 操作 系统 到 上 层 应 用 的 信任 链 ,以 实现 系统 运行 过 程 中 可 执行 程序 的 完整 性 检验 , 防 
范 恶 意 代码 等 攻击 ,并 在 检测 到 其 完整 性 受到 破坏 时 采取 措施 恢复 ,例如 采用 可 信 计 算 等 技术 。 


【条 款 解 读 26】 

一 、 目 的 和 意图 

描述 第 三 级 信息 系统 安全 计算 环境 的 安全 设计 技术 要 求 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 7. 3.1( 安 全 计算 环境 设计 技术 要 求 ), 从 用 户 身份 鉴别 、 自 主 
访问 控制 .标记 和 强制 访问 控制 系统 安全 审计 、 用 户 数据 完整 性 保护 、 用 户 数据 保密 性 保 
护 、 客 体 安全 重用 、 程 序 可 信和 执行 保护 等 方面 ,对 第 三 级 信息 系统 安全 计算 环境 的 安全 设 
计 技 术 要 求 进行 描述 。 

第 三 级 信息 系统 的 安全 计算 环境 要 求 对 计算 环境 进行 较 高 程度 的 安全 保护 ,选择 具 
有 第 三 级 安全 的 操作 系统 和 数据 库 管 理 系 统 实现 对 安全 计算 环境 的 安全 保护 。 第 三 级 安 
全 的 操作 系统 应 符合 GB/T 20272 一 2006《 信 息 安 全 技术 操作 系统 安全 技术 要 求 》 的 
4.3 关于 第 三 级 安全 操作 系统 的 基本 要 求 ;第 三 级 安全 的 数据 库 管理 系统 应 符合 
GB/T 20273 一 2006《 信 息 安全 技术 数据 库 管 理 系 统 安全 技术 要 求 ) 的 5. 3 关于 第 三 级 安 
全 数据 库 管 理 系统 的 基本 要 求 。 在 第 二 级 安全 设计 的 基础 上 ,在 操作 系统 和 数据 库 管 理 
系统 中 ,通过 增加 标记 和 强制 访问 控制 的 安全 机 制 ,使 系统 的 抗 攻 击 能 力 提高 到 一 个 较 高 
的 水 平 ,同时 要 求 在 用 户 身份 鉴别 和 用 户 数 据 的 完整 性 保护 和 保密 性 保护 等 方面 , 均 应 达 
到 与 强制 访问 控制 相 匹 配 的 水 平 。 

标记 和 强制 访问 控制 ,是 第 三 级 信息 系统 安全 计算 环境 比 第 二 级 信息 系统 安全 计算 
环境 对 安全 性 有 明显 增强 的 新 增 安全 功能 。 在 本 标准 所 涉及 的 安全 计算 环境 中 ,标记 和 
强制 访问 控制 一 般 是 在 安全 操作 系统 和 安全 数据 库 管理 系统 中 实现 的 。 由 于 美国 目前 还 
禁止 具有 强制 访问 控制 功能 的 Bl 级 以 上 操作 系统 对 我 国 出 口 ,我 国 市 场 上 当前 能 够 见 
到 的 都 是 在 C2 级 操作 系统 和 数据 库 管理 系统 的 基础 上 ,以 增加 标记 和 强制 访问 控制 为 
中 心 进行 操作 系统 的 安全 加 固 ,一 般 可 以 达到 第 三 级 安全 操作 系统 的 要 求 。 数 据 库 管理 
系统 的 安全 加 固 由 于 大 型 数据 库 产品 的 规模 和 复杂 性 ,使 得 其 难度 较 大 。 不 过 有 一 些 国 
产 数据 库 产品 声称 已 经 达到 B1 级 或 B2 级 的 要 求 ,只 是 市 场 的 广泛 认可 还 需要 有 一 个 过 


Ss 2 sun 


.第 二 章 《信息 系统 等 级 保护 安全 设计 技术 有 要求) 标准 解读 


程 (国外 也 有 对 操作 系统 和 数据 库 管 理 系统 进行 安全 加 固 的 产品 , 如 AutoSecure 
ACWNT 和 Trusted Oracle 等 )。 

操作 系统 和 数据 库 管 理 系统 中 的 标记 和 强制 访问 控制 机 制 是 以 对 主体 和 客体 的 标记 
为 基础 ,以 相应 的 强制 访问 控制 规则 为 基本 依据 来 确定 主体 对 客体 的 访问 权限 的 。 其 主 
体 标记 都 是 以 用 户 作 为 基本 的 标记 对 象 ,而 客体 则 有 所 不 同 。 操 作 系 统一 般 以 文件 作为 
客体 ,数据 库 管 理 系 统一 般 以 库 表 作为 客体 。 虽 然 通常 数据 库 的 库 表 是 建立 在 操作 系统 
文件 的 基础 之 上 的 ,但 是 两 者 的 访问 控制 机 制 却 是 不 能 相互 蔡 代 的 ,因为 它们 各 自 只 能 在 
自己 所 控制 的 范围 起 作用 。 对 于 在 组 成 安全 计算 环境 的 各 个 计算 机 系统 上 实施 相同 安全 
策略 的 访问 控制 机 制 的 情况 ,需要 由 安全 管理 中 心 对 安全 策略 进行 统一 管理 ,并 进行 统一 
的 主 、 客 体 安全 标记 。 而 跨 定 级 系统 实施 统一 安全 策略 的 访问 开展 , 则 需要 由 跨 定 级 系统 
安全 管理 中 心 来 进行 统一 安全 策略 管理 ,并 统一 进行 主 、 客 体 安全 标记 。 

需要 顺便 说 明 的 是 ,在 安全 信息 系统 中 ,各 组 成 部 分 的 安全 机 制 一 般 也 只 能 在 各 自 的 
控制 范围 内 发 挥 作用 ,这 也 就 是 所 谓 的 “安全 木 桶 原理 ”成 立 的 基础 。 


【标准 条 款 】 
GB/T 24856 一 2009 


7.3.2 安全 区 域 边 界 设计 技术 要 求 

第 三 级 安全 区 域 边界 从 以 下 方面 进行 安全 设计 ， 

a) 区 域 边界 访问 控制 

应 在 安全 区 域 边界 设置 自主 和 强制 访问 控制 机 制 ,实施 相应 的 访问 控制 策略 ,对 进出 安全 区 域 
边界 的 数据 信息 进行 控制 ,阻止 非 授权 访问 。 

b) 区 域 边界 包 过 滤 

应 根据 区 域 边界 安全 控制 策略 ,通过 检查 数据 包 的 源 地 址 \ 目 的 地 址 \ 传 输 层 协议 ,请求 的 服务 
等 ,确定 是 否 允 许 该 数据 包 进出 该 区 域 边界 。 

c) 区 域 边界 安全 审计 

应 在 安全 区 域 边界 设置 审计 机 制 , 由 安全 管理 中 心 集中 管理 ,并 对 确认 的 违规 行为 及 时 报警 。 

d) 区 域 边界 完整 性 保护 

应 在 区 域 边 界 设置 探测 器 ,例如 外 接 探测 软件 ,探测 非法 外 联 和 入侵 行为 ,并 及 时 报告 安全 管 
理 中 心 。 


【条 款 解 读 27】 

一 、 目 的 和 意图 

描述 第 三 级 信息 系统 安全 区 域 边界 设计 的 安全 技术 要 求 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 7.3.2( 安 全 区 域 边界 设计 技术 要 求 ), 从 区 域 边界 访问 控制 、 
区 域 边界 包 过 滤 、 区 域 边界 安全 和 审计、 区域 边界 完整 性 保护 等 方面 ,对 第 三 级 信息 系统 安 
全 区 域 边界 设计 的 安全 技术 要 求 进行 描述 。 

第 三 级 信息 系统 的 安全 区 域 边界 ,通过 安全 区 域 边界 的 安全 设计 ,对 来 自 外 部 的 对 安 
全 计算 环境 的 攻击 进行 较 高 程度 的 安全 防护 ,具体 做 法 是 ,在 第 二 级 安全 区 域 边界 安全 设 
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计 的 基础 上 ,通过 选择 和 配置 具有 符合 第 三 级 安全 要 求 的 区 域 边 界 包 过 滤 、 区 域 边界 完整 
性 保护 和 区 域 边界 安全 审计 等 安全 机 制 和 (或 ) 产 品 , 特 别 是 增加 区 域 边界 访问 控制 ,来 进 
行 区 域 边界 安全 防护 ,以 对 抗 来 自 外 部 的 攻击 。 

安全 区 域 边界 的 访问 控制 与 传统 的 操作 系统 和 数据 库 管理 系统 的 访问 控制 ,在 安全 
策略 和 主 、 客 体 标记 方面 应 该 没有 多 大 区 别 , 所 不 同 的 是 主 、 客 体 对 象 的 确定 和 访问 操作 
的 内 容 上 。 总 体 上 讲 ,区域 边界 访问 控制 的 主 、 客 体 粒度 可 能 比较 粗 , 不 会 像 操 作 系 统 和 
数据 库 管理 系统 那样 达到 文件 和 库 表 ( 含 记录 或 字段 ) 的 粒度 ;区 域 边界 访问 控制 的 主体 
对 客体 的 访问 操作 也 不 会 像 操作 系统 和 数据 库 管理 系统 那样 达到 可 读 、 可 写 等 程度 。 另 
外 ,用 于 安全 区 域 边界 的 访问 控制 机 制 因 当前 还 没有 现成 的 安全 产品 可 以 实现 ,需要 安全 
系统 开发 者 在 安全 系统 集成 过 程 中 设计 和 实现 。 


【标准 条 款 】 
GB/T 24856—2009 


7.3.3 安全 通信 网 络 设计 技术 要 求 

第 三 级 安全 通信 网 络 从 以 下 方面 进行 安全 设计 ， 

a) 通信 网 络 安全 审计 

应 在 安全 通信 网 络 设置 审计 机 制 , 由 安全 管理 中 心 集中 管理 ,并 对 确认 的 违规 行为 进行 报警 。 

b) 通信 网 络 数据 传输 完整 性 保护 

应 采用 由 密码 等 技术 支持 的 完整 性 校 验 机 制 , 以 实现 通信 网 络 数据 传输 完整 性 保护 ,并 在 发 现 
完整 性 被 破坏 时 进行 恢复 。 

c) 通信 网络 数据 传输 保密 性 保护 

采用 由 密码 等 技术 支持 的 保密 性 保护 机 制 ,以 实现 通信 和 网络 数据 传输 保密 性 保护 。 

d) 通信 网络 可 信 接 入 保护 

可 采用 由 密码 等 技术 支持 的 可 信和 网 络 连接 机 制 ,通过 对 连接 到 通信 网 络 的 设备 进行 可 信和 检验 ， 
确保 接 入 通信 和 网络 的 设备 真实 可 信 , 防 止 设备 的 非法 接 入 。 


【条 款 解 读 28】 

一 、 目 的 和 意图 

描述 第 三 级 信息 系统 安全 通信 网 络 的 安全 设计 技术 要 求 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 7. 3. 3( 安 全 通信 网络 设计 技术 要 求 ), 从 通信 网络 安全 审计 、 
通信 网络 数据 传输 完整 性 保护 、 通 信和 网 络 数据 传输 保密 性 保护 、 通 信和 网 络 可 信 接 人 等 方 
面 ,对 第 三 级 信息 系统 安全 通信 和 网络 的 安全 设计 技术 要 求 进行 描述 。 

第 三 级 信息 系统 的 安全 通信 和 网络 ,通过 安全 通信 网络 的 安全 设计 ,对 通信 和 网络 的 安全 
运行 和 通信 网 络 所 传输 的 数据 进行 较 高 程度 的 安全 保护 。 具 体 做 法 是 ,在 第 二 级 安全 通 
信 网 络 安全 设计 的 基础 上 ,通过 选择 和 配置 具有 符合 第 三 级 安全 要 求 的 通信 网 络 安全 审 
计 、 通 信 网 络 数 据 传 输 完 整 性 .保密 性 保护 以 及 通信 网 络 可 信 接 和 人 的 安全 机 制 和 (或 ) 产 
品 ,实现 通信 网 络 的 安全 保护 。 

在 第 三 级 信息 系统 的 安全 通信 网 络 设计 中 ,除了 安全 审计 机 制 外 ,安全 通信 网 络 的 数 
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据 传输 完整 性 保护 、 数 据 传输 保密 性 保护 和 通信 网 络 可 信和 连接 保护 ,目前 大 都 采用 以 密码 
为 基础 的 安全 机 制 来 实现 。 这 里 需要 强调 的 是 ,第 三 级 信息 系统 安全 通信 网 络 应 采用 统 
一 的 、 较 完整 的 密码 体系 ,来 实现 这 些 安全 机 制 。 


【标准 条 款 】 
GB/T 24856 一 2009 


7.3.4 安全 管理 中 心 设计 技术 要 求 

7.3.4.1 系统 管理 

应 通过 系统 管理 员 对 系统 的 资源 和 运行 进行 配置 、 控 制 和 管理 ,包括 用 户 身 份 管理 .系统 资源 
配置 ,系统 加 载 和 启动 ,系统 和 运行 的 异常 处 理 以 及 支持 管理 本 地 和 (或 ) 异 地 灾难 备份 与 恢复 等 。 

应 对 系统 管理 员 进行 身份 鉴别 ,只 人 允许 其 通过 特定 的 命令 或 操作 界面 进行 系统 管理 操作 ,并 对 
这 些 操作 进行 审计 。 

7. 3.4.2 安全 管理 

应 通过 安全 管理 员 对 系统 中 的 主体 、 客 体 进 行 统一 标记 ,对 主体 进行 授权 ,配置 一 致 的 安全 
策略 。 

应 对 安全 管理 员 进 行 身份 鉴别 ,只 允许 其 通过 特定 的 命令 或 操作 界面 进行 安全 管理 操作 ,并 进 
行 审计 。 

7.3.4.3 审计 管理 

应 通过 安全 审计 员 对 分 布 在 系统 各 个 组 成 部 分 的 安全 审计 机 制 进行 集中 管理 ,包括 根据 安全 
审计 策略 对 审计 记录 进行 分 类 ;提供 按时 间 段 开启 和 关闭 相应 类 型 的 安全 审计 机 制 ; 对 各 类 审计 记 
录 进 行 存储 管理 和 查询 等 。 对 审计 记录 应 进行 分 析 , 并 根据 分 析 结 果 进 行 处 理 。 

应 对 安全 审计 员 进行 身份 鉴别 ,只 允许 其 通过 特定 的 命令 或 操作 界面 进行 安全 审计 操作 。 


【条 款 解 读 29】 

一 、 目 的 和 意图 

描述 第 三 级 信息 系统 安全 管理 中 心 的 设计 技术 要 求 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 7.3.4( 安 全 管理 中 心 设计 技术 要 求 ), 从 系统 管理 、 安 全 管理 、 
审计 管理 等 方面 ,对 第 三 级 信息 系统 安全 管理 中 心 设计 技术 要 求 进行 描述 。 

第 三 级 信息 系统 的 安全 管理 中 心 的 设计 ,是 在 第 二 级 信息 系统 安全 管理 中 心 设计 的 
基础 上 ,通过 增强 对 安全 审计 的 管理 和 增加 安全 管理 的 相关 内 容 ,实现 信息 系统 各 安全 机 
制 的 统一 管理 。 第 三 级 信息 系统 各 安全 机 制 的 统一 管理 主要 包括 : 对 系统 中 由 安全 策略 
控制 的 主体 .客体 进行 统一 标记 ,对 主体 进行 统一 授权 管理 ,并 为 全 系统 配置 统一 的 安 
全 策略 ;对 分 布 在 系统 中 的 各 种 需要 集中 控制 和 管理 的 安全 机 制 进行 管理 和 控制 ; 实 
现 系统 管理 员 、 安 全 员 和 审计 员 的 三 权 分 离 ,并 形成 相互 制约 关系 ;为 安全 员 和 审计 员 
各 自 提 供 专用 的 操作 界面 ,按照 第 三 级 安全 的 要 求 进行 身份 鉴别 ,并 对 其 操作 行为 进 
行 安全 审计 。 

安全 管理 中 心 的 设计 ,可 以 选择 市 场 上 已 有 的 相应 产品 进行 集成 ,也 可 以 在 系统 集成 
过 程 中 进行 设计 。 市 场 上 的 相应 产品 一 般 是 指 对 分 布 式 安全 机 制 具 有 集中 管理 和 控制 功 
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能 的 产品 。 这 类 产品 目前 常见 的 有 : 具有 集中 管控 功能 的 安全 审计 产品 ,具有 分 布 式 
管理 功能 的 安全 监控 产品 ,以 及 进行 集中 身份 鉴别 的 单 点 登录 等 。 对 于 需要 进行 统一 
的 主 、 客 体 标 记 这 样 一 些 安全 功能 的 ,一 般 需 要 在 安全 系统 集成 过 程 中 进行 设计 。 这 
里 需要 强调 的 是 ,在 选择 已 有 产品 时 应 注意 其 接口 的 标准 化 和 一 致 性 ,以 免 带 来 不 必 
要 的 麻烦 。 


”第 四 级 信息 系统 安全 保护 环境 设计 


【标准 条 款 】 


GB/T 24856 一 2009 
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【条 款 解读 30】 

一 、 目 的 和 意图 

描述 第 四 级 信息 系统 安全 保护 环境 的 安全 设计 要 求 。 

二 、 解 释 和 示例 

GB/T 24856 一 2009 的 第 8 章 ( 第 四 级 系统 安全 保护 环境 设计 ) ,从 设计 目标 、 设 计 
策略 和 设计 技术 要 求 等 方面 ,对 第 四 级 信息 系统 的 安全 保护 环境 的 安全 设计 要 求 进行 
描述 。 

有 关 第 四 级 系统 安全 保护 环境 安全 设计 要 求 的 进一步 解释 ,参见 条 款 解读 31 一 条 款 
解读 33。 


1.6.1 安全 设计 目标 
【标准 条 款 】 


GB/T 24856 一 2009 


8.1 设计 目标 

第 四 级 系统 安全 保护 环境 的 设计 目标 是 : 按照 GB 17859 一 1999 对 第 四 级 系统 的 安全 保护 要 
求 ,建立 一 个 明确 定义 的 形式 化 安全 策略 模型 ,将 自主 和 强制 访问 控制 扩展 到 所 有 主体 与 客体 , 相 
应 增强 其 他 安全 功能 强度 :将 系统 安全 保护 环境 结构 化 为 关键 保护 元 素 和 非 关键 保护 元 素 , 以 使 系 
统 具 有 抗 渗透 的 能 力 。 


【条 款 解读 31】 
一 、 目 的 和 意图 
描述 第 四 级 信息 系统 安全 保护 环境 的 安全 设计 目标 。 
二 、 解释 和 示例 
GB/T 24856 一 2009 的 8.1( 设 计 目 标 ) ,对 第 四 级 信息 系统 安全 保护 环境 的 安全 设计 
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目标 进行 描述 。 强 调 第 四 级 信息 系统 安全 保护 环境 的 安全 设计 是 对 GB 17859 一 1999 结 
构 化 保护 级 安全 保护 要 求 的 具体 实现 ,是 在 第 三 级 信息 系统 安全 保护 环境 的 安全 环境 安 
全 设计 的 基础 上 ,把 标记 和 强制 访问 控制 的 范围 扩展 到 系统 的 所 有 主 、 客 体 ,并 从 结构 化 
设计 的 角度 增强 信息 系统 安全 保护 的 强度 。 安 全 设计 目标 是 达到 整个 信息 系统 的 安全 保 
护 能 力 以 能 够 抵御 各 种 内 、 外 部 攻击 。 

第 四 级 信息 系统 安全 保护 环境 的 安全 设计 目标 ,应 根据 信息 安全 等 级 保护 的 有 关 政 
策 法 规 ( 如 公 通 字 [2004]66 号 文件 和 公 通 字 [2007]43 号 文件 等 ) 对 第 四 级 信息 系统 安全 
要 求 的 描述 ,按照 风险 分 析 方 法 所 确定 的 目标 信息 系统 的 安全 需求 ,以 及 信息 安全 等 级 保 
护 相 关 标准 对 适用 于 第 四 级 信息 系统 的 安全 要 素 和 安全 产品 的 具体 要 求 ,综合 分 析 进 行 
确定 。 

1.6.2 ”安全 设计 策略 


【标准 条 款 】 
GB/T 24856 一 2009 


8.2 设计 策略 

第 四 级 系统 安全 保护 环境 的 设计 策略 是 : 在 第 三 级 系统 安全 保护 环境 设计 的 基础 上 ,遵循 
GB 17859 一 1999 的 4.4 中 相关 要 求 ,通过 安全 管理 中 心 明确 定义 和 维护 形式 化 的 安全 策略 模型 。 
依据 该 模型 ,采用 对 系统 内 的 所 有 主 ,客体 进行 标记 的 手段 ,实现 所 有 主体 与 客体 的 强制 访问 控制 。 
同时 ,相应 增强 身份 鉴别 .审计 ,安全 管理 等 功能 ,定义 安全 部 件 之 间接 口 的 途径 ,实现 系统 安全 保 
护 环境 关键 保护 部 件 和 非 关键 保护 部 件 的 区 分 ,并 进行 测试 和 审核 ,保障 安全 功能 的 有 效 性 。 

第 四 级 系统 安全 保护 环境 的 设计 通过 第 四 级 的 安全 计算 环境 安全 区 域 边界 .安全 通信 网 络 以 
及 安全 管理 中 心 的 设计 加 以 实现 。 


【条 款 解 读 32】 

一 、 目 的 和 意图 

描述 第 四 级 信息 系统 安全 保护 环境 的 安全 设计 策略 。 

二 、 解 释 和 示例 

GB/T 24856 一 2009 的 8.2( 设 计策 略 ) ,强调 第 四 级 信息 系统 安全 保护 环境 的 安全 设 
计 应 遵循 GB 17859 一 1999 的 4.4 的 相关 要 求 , 在 第 三 级 信息 系统 安全 保护 环境 安全 设 
计 的 基础 上 ,通过 安全 管理 中 心 ,明确 定义 和 维护 形式 化 的 安全 策略 模型 ,对 系统 内 的 
所 有 主 、 窜 体 进行 标记 和 强制 访问 控制 ,并 对 数据 存储 和 传输 保护 等 其 他 安全 功能 采 
取 更 加 有 效 的 措施 ;具体 做 法 是 通过 对 安全 计算 环境 、 安 全 区 域 边界 、 安 全 通信 网 络 的 
安全 设计 ,以 及 安全 管理 中 心 的 设计 ,实现 第 四 级 信息 系统 安全 保护 环境 的 安全 设计 
目标 。 

在 第 四 级 信息 系统 安全 保护 环境 的 安全 设计 中 ,安全 策略 应 是 对 实现 第 四 级 信息 系 
统 安全 保护 环境 安全 功能 的 安全 技术 、 机 制 、 原 理 和 方法 的 完整 描述 。 
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1.6.3 安全 设计 技术 要 求 


【标准 条 款 】 
GB/T 24856 一 2009 


8.3 设计 技术 要 求 


【条 款 解读 33】 

一 、 目 的 和 意图 

描述 第 四 级 信息 系统 安全 保护 环境 的 安全 设计 技术 要 求 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 8. 3( 设 计 技术 要 求 ), 从 安全 计算 环境 安全 设计 、 安 全 区 域 边 
界 安全 设计 、 安 全 通信 网 络 安全 设计 、 安 全 管理 中 心 设计 和 系统 安全 保护 环境 结构 化 设计 
等 方面 ,对 第 四 级 信息 系统 安全 保护 环境 的 安全 设计 技术 要 求 进行 描述 。 

计算 环境 和 通信 网 络 是 信息 系统 不 可 缺少 的 组 成 部 分 。 第 四 级 安全 计算 环境 ,是 按 
照 所 确定 的 第 四 级 信息 系统 安全 保护 环境 的 安全 设计 目标 和 安全 设计 策略 对 安全 计算 环 
境 的 安全 要 求 , 在 计算 环境 所 实现 的 计算 功能 的 基础 上 ,附加 实现 相应 安全 保护 功能 的 对 
计算 环境 进行 安全 保护 的 安全 技术 和 机 制 构成 的 具有 相应 安全 保护 能 力 的 安全 计算 环 
境 ; 第 四 级 安全 通信 网 络 , 是 按照 所 确定 的 第 四 级 信息 系统 安全 保护 环境 的 安全 设计 目标 
和 安全 设计 策略 对 通信 网 络 的 安全 要 求 ,在 通信 网 络 所 实现 的 通信 功能 的 基础 上 ,附加 实 
现 相应 安全 保护 功能 的 对 通信 网 络 功能 进行 安全 保护 的 安全 技术 和 机 制 构成 的 具有 相应 
安全 保护 能 力 的 安全 通信 网 络 。 

安全 区 域 边界 是 专 为 在 安全 计算 环境 的 边界 进行 安全 保护 而 设置 的 。 第 四 级 安全 区 
域 边界 是 按照 确定 的 第 四 级 信息 系统 安全 保护 环境 的 安全 设计 目标 和 安全 设计 策略 对 区 
域 边界 的 安全 要 求 , 采 用 具有 相应 安全 保护 能 力 的 安全 技术 和 安全 产品 构成 的 区 域 边界 。 

安全 管理 中 心 是 专 为 信息 系统 安全 保护 环境 进行 集中 管理 设置 的 。 第 四 级 信息 系统 
安全 保护 环境 的 安全 管理 中 心 统一 管理 和 控制 系统 的 安全 策略 和 所 有 分 布 式 安全 机 制 ， 
包括 进行 所 有 主客 体 的 统一 标记 ,主体 授权 管理 和 强制 访问 控制 ,以 及 分 散在 系统 各 组 成 
部 分 的 所 有 安全 机 制 的 统一 管理 和 配置 。 

安全 计算 环境 、 安 全 区 域 边界 和 安全 通信 和 网络 三 者 中 的 安全 机 制 , 在 安全 管理 中 心 的 
管理 之 下 ,实施 统一 的 安全 策略 ,协同 运行 ,共同 实现 第 四 级 信息 系统 的 安全 保护 目标 。 

第 四 级 信息 系统 的 安全 计算 环境 ,应 对 信息 系统 进行 更 高 程度 的 安全 保护 ,在 第 三 级 
安全 保护 环境 安全 设计 的 基础 上 ,通过 安全 保护 环境 的 结构 化 设计 ,使 系统 的 抗 攻 击 能 力 
提高 到 一 个 更 高 的 水 平 ;在 安全 机 制 方面 ,要 求 将 标记 和 强制 访问 控制 的 范围 扩展 到 系统 
所 有 的 主 、 客 体 ;在 用 户 身份 鉴别 和 用 户 数 据 的 完整 性 保护 和 保密 性 保护 等 方面 ,应 有 更 
大 的 增强 。 比 如 ,采用 完整 的 高 强度 的 密码 体系 ,实现 用 户 身 份 鉴别 、 签 名 、 验 证 、 抗 抵赖 ， 
用 户 数 据 的 保密 性 、 完 整 性 保护 ,以 及 程序 可 信 执 行 保护 和 通信 网 络 可 信 接 入 等 ,并 通过 
完整 的 安全 管理 中 心 实现 对 整个 信息 系统 安全 保护 环境 安全 策略 的 统一 管理 。 


-第 1 章 《信息 系统 等 级 保护 安全 设计 技术 要 求 ) 标 准 解读 


有 关 第 四 级 信息 系统 安全 保护 环境 的 安全 设计 技术 要 求 的 进一步 解释 ,参见 条 款 解 
读 34 一 条 款 解读 38。 


【标准 条 款 】 
GB/T 24856—2009 


8.3.1 安全 计算 环境 设计 技术 要 求 

第 四 级 安全 计算 环境 从 以 下 方面 进行 安全 设计 : 

a) 用 户 身 份 鉴别 

应 支持 用 户 标 识 和 用 户 鉴 别 。 在 每 一 个 用 户 注册 到 系统 时 ,采用 用 户 名 和 用 户 标 识 符 标识 用 
户 身 份 ,并 确保 在 系统 整个 生存 周期 用 户 标识 的 唯一 性 ;在 每 次 用 户 登 录 和 重新 连接 系统 时 ,采用 
受 安全 管理 中 心 控制 的 口令 、 基 于 牛 物 特征 的 数据 ,数字 证 书 以 及 其 他 具有 相应 安全 强度 的 两 种 或 
两 种 以 上 的 组 合 机 制 进 行 用 户 身份 鉴别 , 且 其 中 一 种 鉴别 技术 产生 的 鉴别 数据 是 不 可 替代 的 ,并 对 
鉴别 数据 进行 保密 性 和 完整 性 保护 。 

b) 自主 访问 控制 

应 在 安全 策略 控制 范围 内 ,使 用 户 对 其 创建 的 客体 具有 相应 的 访问 操作 权限 ,并 能 将 这 些 权 限 
部 分 或 全 部 授予 其 他 用 户 。 自 主 访问 控制 主体 的 粒度 为 用 户 级 ,客体 的 粒度 为 文件 或 数据 库 表 级 
和 (或 ) 记 录 或 字段 级 。 自 主 访问 操作 包括 对 客体 的 创建 . 读 、 写 、 修 改 和 删除 等 。 

c) 标记 和 强制 访问 控制 

在 对 安全 管理 员 进 行 身 份 鉴别 和 权限 控制 的 基础 上 ,应 由 安全 管理 员 通 过 特定 操作 界面 对 主 、 
客体 进行 安全 标记 ,将 强制 访问 控制 扩展 到 所 有 主体 与 客体 ;应 按 安全 标记 和 强制 访问 控制 规则 ， 
对 确定 主体 访问 客体 的 操作 进行 控制 。 强 制 访问 控制 主体 的 粒度 为 用 户 级 ,客体 的 粒度 为 文件 或 
数据 库 表 级 。 应 确保 安全 计算 环境 内 的 所 有 主 、 客 体 具 有 一 致 的 标记 信息 ,并 实施 相同 的 强制 访问 
控制 规则 。 

d) 系统 安全 审计 

应 记录 系统 相关 安全 事件 。 审 计 记录 包括 安全 事件 的 主体 、 客 体 \ 时 间 、 类 型 和 结果 等 内 容 。 
应 提供 审计 记录 查询 ,分 类 ,分析 和 存储 保护 ;能 对 特定 安全 事件 进行 报警 ,终止 违例 进程 等 ;确保 
审计 记录 不 被 破坏 或 非 授 权 访 问 以 及 防止 审计 记录 丢失 等 。 应 为 安全 管理 中 心 提供 接口 ;对 不 能 
由 系统 独立 处 理 的 安全 事件 ,提供 由 授权 主体 调用 的 接口 。 

e) 用 户 数 据 完整 性 保护 

应 采用 密码 等 技术 支持 的 完整 性 校 验 机 制 ,检验 存储 和 处 理 用 户 数据 的 完整 性 ,以 发 现 其 完整 
性 是 否 被 破坏 , 且 在 其 受到 破坏 时 能 对 重要 数据 进行 恢复 。 

fy 用户 数 据 保密 性 保护 

采用 密码 等 技术 支持 的 保密 性 保护 机 制 , 对 在 安全 计算 环境 中 的 用 户 数据 进行 保密 性 保护 。 

g) 客体 安全 重用 

应 采用 具有 安全 客体 复 用 功能 的 系统 软件 或 具有 相应 功能 的 信息 技术 产品 ,对 用 户 使 用 的 客 
体 资源 在 重新 分 配 前 ,对 其 原 使 用 者 的 信息 进行 清除 ,以 确保 信息 不 被 泄露 。 

h) 程序 可 信 执 行 保 护 

应 构建 从 操作 系统 到 上 层 应 用 的 信任 链 , 以 实现 系统 运行 过 程 中 可 执行 程序 的 完整 性 检验 ， 
防范 恶意 代码 等 的 攻击 ,并 在 检测 到 其 完整 性 受到 破坏 时 采取 措施 恢复 ,例如 采用 可 信 计 算 等 
技术 。 
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【条 款 解 读 34】 

一 、 目 的 和 意图 

描述 第 四 级 信息 系统 安全 计算 环境 的 安全 设计 技术 要 求 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 8. 3.1( 安 全 计算 环境 设计 技术 要 求 ), 从 用 户 身 份 鉴别 、 自 主 
访问 控制 标记 和 强制 访问 控制 、 系 统 安全 和 审计、 用户 数据 完整 性 保护 、 用 户 数据 保密 性 保 
护 、 客 体 安 全 重用 、 程 序 可 信 执 行 保护 等 方面 ,对 第 四 级 信息 系统 安全 计算 环境 设计 的 技 
术 要 求 进行 描述 。 

第 四 级 信息 系统 的 安全 计算 环境 ,要 求 对 计算 环境 进行 较 高 程度 的 安全 保护 ,选择 具 
有 第 四 级 安全 的 操作 系统 和 数据 库 管理 系统 实现 对 安全 计算 环境 的 安全 保护 。 第 四 级 安 
全 的 操作 系统 应 符合 GB/T 20272 一 2006《 信 息 安全 技术 操作 系统 安全 技术 要 求 》 的 
4.4 关 于 第 四 级 安全 操作 系统 的 基本 要 求 ;第 四 级 安全 的 数据 库 管理 系统 应 符合 
GB/T 20273 一 2006《 信 息 安全 技术 数据 库 管理 系统 安全 技术 要 求 》 的 5.4 关于 第 四 级 安 
全 数据 库 管理 系统 的 基本 要 求 。 在 第 三 级 安全 设计 的 基础 上 ,在 操作 系统 和 数据 库 管 理 
系统 中 ,通过 将 实施 标记 和 强制 访问 控制 的 范围 扩展 到 系统 中 的 所 有 主 、 客 体 ,使 系统 具 
有 整体 的 抗 攻 击 能 力 , 同 时 要 求 在 用 户 身份 鉴别 和 用 户 数据 的 完整 性 保护 和 保密 人 性 保护 
等 方面 也 有 相应 的 提升 。 比 如 ,采用 完整 的 高 强度 的 密码 体系 ,实现 用 户 身份 鉴别 、 签 名、 
用 户 数据 的 保密 人 性、 完整 性 保护 ,以 及 程序 可 信 执 行 保 护 等 。 

第 四 级 信息 系统 安全 计算 环境 的 安全 设计 与 第 三 级 信息 系统 安全 计算 环境 的 安全 
设计 的 一 个 明显 的 区 别 是 要 求 将 “自主 和 强制 访问 控制 扩展 到 所 有 主体 与 客体 ”。 而 
在 第 三 级 信息 系统 安全 计算 环境 的 安全 设计 中 ,自主 和 强制 访问 控制 只 是 对 所 确定 的 
主体 与 客 休 实施。 如何 正确 理解 这 一 要 求 , 成 为 第 四 级 信息 系统 安全 保护 环境 安全 设 
计 的 关键 。 

在 GB 17859 一 1999 中 第 四 级 的 相关 要 求 是 :“ 可 信 计 算 基 对 外 部 主体 能 够 直接 或 间 
接 访 问 的 所 有 资源 (例如 : 主体 、 存 储 客体 和 输入 /输出 资源 ) 实 施 强制 访问 控制 ,为 这 些 
主体 及 客体 指定 敏感 标记 。 这 些 标 记 是 等 级 分 类 和 非 等 级 类 别 的 组 合 ,它们 是 实施 强制 
访问 控制 的 依据 。? 第 三 级 的 相关 要 求 是 :“ 可 信 计 算 基 对 所 有 主体 及 其 所 控制 的 客体 ( 例 
如 : 进程 文件 、 段 、 设 备 ) 实 施 强 制 访问 控制 ,为 这 些 主体 及 客体 指定 敏感 标记 .” 第 四 级 
的 核心 是 强调 对 系统 中 的 “所 有 资源 ”实施 强制 访问 控制 。 如 果 把 这 种 强制 访问 控制 要 求 
看 作 是 对 系统 中 “所 有 ”资源 的 高 的 安全 保护 要 求 的 表征 ,那么 在 第 四 级 信息 系统 的 安全 
计算 环境 的 安全 设计 中 ,其 他 相关 的 安全 要 素 , 如 用 户 身份 鉴别 .用 户 数据 的 完整 性 .保密 
性 保护 等 安全 技术 和 机 人 制 ,都 应 对 其 所 控制 的 "所 有 资源 提供 与 强制 访问 控制 具有 相当 
安全 强度 的 安全 保护 。 这 种 对 系统 中 “所 有 资源 ”的 高 安全 保护 要 求 ,同样 可 以 扩展 到 第 
四 级 信息 系统 的 安全 区 域 边界 和 安全 通信 网 络 。 
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.第 工 章 .《 信 息 系 统 等 级 保护 安全 设计 技术 有 要求 ?标准 解读 


8.3.2 安全 区 域 边 界 设 计 技 术 要 求 

第 四 级 安全 区 域 边界 从 以 下 方面 进行 安全 设计 : 

a) 区 域 边界 访问 控制 

应 在 安全 区 域 边界 设置 自主 和 强制 访问 控制 机 制 ,实施 相应 的 访问 控制 策略 ,对 进出 安全 区 域 
边界 的 数据 信息 进行 控制 ,阻止 非 授权 访问 。 

b) 区 域 边界 包 过 滤 

应 根据 区 域 边界 安全 控制 策略 ,通过 检查 数据 包 的 源 地 址 \ 目 的 地 址 \ 传 输 层 协议 .请求 的 服务 
等 ,确定 是 否 允 许 该 数据 包 进 出 受 保护 的 区 域 边界 。 

c) 区 域 边界 安全 审计 

应 在 安全 区 域 边界 设置 审计 机 制 ,通过 安全 管理 中 心 集中 管理 ,对 确认 的 违规 行为 及 时 报警 并 
作出 相应 处 置 。 

d) 区 域 边界 完整 性 保护 

应 在 区 域 边界 设置 探测 器 ,例如 外 接 探测 软件 ,探测 非法 外 联 和 入 侵 行 为 ,并 及 时 报告 安全 管 
理 中 心 。 


【条 款 解 读 35】 

一 、 目 的 和 意图 

描述 第 四 级 信息 系统 安全 区 域 边界 设计 的 安全 技术 要 求 。 

二 、 解 释 和 示例 

GB/T 24856 一 2009 的 8. 3.2( 安 全 区 域 边界 设计 技术 要 求 ), 从 区 域 边界 访问 控制 、 
区 域 边界 包 过 滤 、 区 域 边界 安全 审计 、 区 域 边界 完整 性 保护 等 方面 ,对 第 四 级 信息 系统 安 
全 区 域 边界 设计 的 安全 技术 要 求 进行 描述 。 

第 四 级 信息 系统 的 安全 区 域 边界 ,通过 安全 区 域 边界 的 安全 设计 ,对 来 自 外 部 的 对 安 
全 计算 环境 的 攻击 进行 更 高 程度 的 安全 防护 。 具 体 做 法 是 ,在 第 三 级 安全 区 域 边界 安全 
设计 的 基础 上 ,通过 选择 和 配置 具有 符合 第 四 级 安全 要 求 的 区 域 边界 访问 控制 .区 域 边界 
包 过 滤 、 区 域 边界 完整 性 保护 和 区 域 边界 安全 审计 等 安全 机 制 和 产品 ,来 进行 区 域 边界 安 
全 防护 ,以 对 抗 来 自 外 部 的 攻击 。 

按照 第 四 级 信息 系统 安全 计算 环境 安全 设计 中 对 系统 中 的 “所 有 资源 ”实施 强制 访问 
控制 的 要 求 , 在 第 四 级 信息 系统 安全 区 域 边界 的 安全 设计 中 ,其 强制 访问 控制 和 其 他 安全 
要 素 ,都 应 对 其 所 控制 的 “所 有 资源 ”提供 与 强制 访问 控制 具有 相当 安全 强度 的 安全 保护 。 


【标准 条 款 】 
GB/T 24856 一 2009 


8.3.3 安全 通信 网 络 设计 技术 要 求 

第 四 级 安全 通信 和 网络 从 以 下 方面 进行 安全 设计 : 

a) 通信 网 络 安 全 审计 

应 在 安全 通信 网络 设置 审计 机 制 ,由 安全 管理 中 心 集中 管理 ,并 对 确认 的 违规 行为 进行 报警 ， 
且 作 出 相应 处 置 。 
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b) 通信 网 络 数据 传输 完整 性 保护 

应 采用 由 密码 等 技术 支持 的 完整 性 校 验 机 制 , 以 实现 通信 网 络 数据 传输 完整 性 保护 ,并 在 发 现 
完整 性 被 破坏 时 进行 恢复 。 

c) 通信 网 络 数据 传输 保密 性 保护 

采用 由 密码 等 技术 支持 的 保密 性 保护 机 制 ,以 实现 通信 网 络 数据 传输 保密 性 保护 。 

d) 通信 网 络 可 信 接 人 保护 

应 采用 由 密码 等 技术 支持 的 可 信和 网 络 连 接 机 制 ,通过 对 连接 到 通信 网 络 的 设备 进行 可 信 检 验 ， 
确保 接 入 通信 网 络 的 设备 真实 可 信 , 防 止 设备 的 非法 接 入 。 


【条 款 解读 36】 
一 、 目 的 和 意图 
描述 第 四 级 信息 系统 安全 通信 网 络 安全 设计 技术 要 求 。 
二 、 解 释 和 示例 


GB/T 24856 一 2009 的 8. 3. 3( 安 全 通信 和 网络 设计 技术 要 求 ), 从 通信 和 网络 安全 审计 、 
通信 网 络 数据 传输 完整 性 保护 、 通 信和 网 络 数 据 传 输 保密 性 保护 、 通 信和 网 络 可 信 接 入 等 方 
面 ,对 第 四 级 信息 系统 安全 通信 网 络 的 安全 设计 技术 要 求 进行 描述 。 

第 四 级 信息 系统 的 安全 通信 和 网络 ,通过 安全 通信 网络 的 安全 设计 ,对 通信 和 网络 的 安全 
运行 和 通信 和 网络 所 传输 的 数据 进行 更 高 程度 的 安全 保护 ,具体 做 法 是 ,在 第 三 级 安全 通信 
网 络 安全 设计 的 基础 上 ,通过 选择 和 配置 具有 符合 第 四 级 安全 要 求 的 通信 网 络 安全 审计 、 
通信 网 络 数据 传输 完整 性 \、 保 密 性 保护 以 及 通信 网 络 可 信 接 人 的 安全 机 制 和 (或 ) 产 品 , 实 
现 通 信和 网 络 的 安全 保护 。 

按照 第 四 级 信息 系统 安全 计算 环境 安全 设计 中 对 系统 中 的 “所 有 资源 ”实施 强制 访问 
控制 的 要 求 , 在 第 四 级 信息 系统 安全 通信 和 网络 的 安全 设计 中 的 安全 要 素 ,都 应 对 其 所 控制 
的 “所 有 资源 ”提供 与 强制 访问 控制 具有 相当 安全 强度 的 安全 保护 。 


【标准 条 款 】 
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8.3.4 安全 管理 中 心 设 计 技 术 要 求 

8.3.4.1 系统 管理 

应 通过 系统 管理 员 对 系统 的 资源 和 运行 进行 配置 .控制 和 管理 ,包括 用 户 身份 管理 .系统 资源 
配置 ,系统 加 载 和 启动 ,系统 和 运行 的 异常 处 理 以 及 支持 管理 本 地 和 异地 灾难 备份 与 恢复 等 。 

应 对 系统 管理 员 进 行 身份 鉴别 ,只 人 允许 其 通过 特定 的 命令 或 操作 界面 进行 系统 管理 操作 ,并 对 
这 些 操 作 进 行 审 计 。 

8. 3.4.2 安全 管理 

应 通过 安全 管理 员 对 系统 中 的 主体 、 客 体 进 行 统一 标记 ,对 主体 进行 授权 ,配置 一 致 的 安全 策 
略 ,并 确保 标记 、 授 权 和 安全 策略 的 数据 完整 性 。 

应 对 安全 管理 员 进 行 身份 鉴别 ,只 允许 其 通过 特定 的 命令 或 操作 界面 进行 安全 管理 操作 ,并 进 
行 审计 。 
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' 第 1 阐 《信息 系统 等 级 保护 安全 设计 技术 要 求 ) 标 准 解 读 


8. 3.4.3 审计 管理 

应 通过 安全 审计 员 对 分 布 在 系统 各 个 组 成 部 分 的 安全 审计 机 制 进行 集中 管理 ,包括 根据 安全 
审计 策略 对 审计 记录 进行 分 类 ;提供 按时 间 段 开启 和 关闭 相应 类 型 的 安全 审计 机 制 ; 对 各 类 审计 记 
录 进 行 存储 、 管 理 和 查询 等 。 对 审计 记录 应 进行 分 析 , 并 根据 分 析 结 果 进行 及 时 处 理 。 

应 对 安全 审计 员 进 行 身份 鉴别 ,只 人 允许 其 通过 特定 的 命令 或 操作 界面 进行 安全 审计 操作 。 


【条 款 解 读 37】 

一 、 目 的 和 意图 

描述 第 四 级 信息 系统 安全 管理 中 心 设计 的 技术 要 求 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 8. 3.4( 安 全 管理 中 心 技术 设计 要 求 ), 从 系统 管理 .安全 管理 、 
审计 管理 等 方面 ,对 第 四 级 信息 系统 安全 管理 中 心 设计 技术 要 求 进行 描述 。 

第 四 级 信息 系统 的 安全 管理 中 心 的 设计 ,是 在 第 三 级 信息 系统 安全 管理 中 心 设计 的 
基础 上 ,通过 增强 对 安全 审计 和 安全 管理 的 相关 内 容 ,实现 信息 系统 各 安全 机 制 的 统一 管 
理 。 第 四 级 信息 系统 各 安全 机 制 的 统一 管理 主要 包括 : 对 系统 中 的 所 有 主体 .客体 进行 
统一 标记 ,对 主体 进行 统一 授权 管理 ,并 为 全 系统 配置 统一 的 安全 策略 ;对 分 布 在 系统 中 
的 各 种 需要 集中 控制 和 管理 的 安全 机 制 进行 管理 和 控制 ;实现 系统 管理 员 、 安 全 员 和 审计 
员 的 三 权 分 离 ,并 形成 相互 制约 关系 ;为 安全 员 和 审计 员 各 自 提供 专用 的 操作 界面 ,并 对 
安全 员 和 审计 员 按 照 第 四 级 安全 的 要 求 进行 严格 的 身份 鉴别 ,对 其 操作 行为 进行 审计 。 


【标准 条 款 】 
GB/T 24856 一 2009 


8.3.5 系统 安全 保护 环境 结构 化 设计 技术 要 求 

8. 3. 5.1 安全 保护 部 件 结构 化 设计 技术 要 求 

第 四 级 系统 安全 保护 环境 各 安全 保护 部 件 的 设计 应 基于 形式 化 的 安全 策略 模型 。 安 全 保护 部 
件 应 划分 为 关键 安全 保护 部 件 和 非 关 键 安全 保护 部 件 , 防 止 违 背 安全 策略 致使 敏感 信息 从 关键 安 
全 保护 部 件 流向 非 关键 安全 保护 部 件 。 关 键 安全 保护 部 件 应 划分 功能 层次 ,明确 定义 功能 层次 间 
的 调用 接口 ,确保 接口 之 间 的 信息 安全 交换 。 

8. 3. 5.2 安全 保护 部 件 互联 结构 化 设计 技术 要 求 

第 四 级 系统 各 安全 保护 部 件 之 间 互 联 的 接口 功能 及 其 调用 关系 应 明确 定义 ;各 安全 保护 部 件 
之 间 互 联 时 ,需要 通过 可 信 验 证 机 制 相互 验证 对 方 的 可 信和 性 ,确保 安全 保护 部 件 间 的 可 信和 连接 。 

8. 3.5.3 重要 参数 结构 化 设计 技术 要 求 

应 对 第 四 级 系统 安全 保护 环境 设计 实现 的 与 安全 策略 相关 的 重要 参数 的 数据 结构 给 出 明确 定 
义 , 包 括 参 数 的 类 型 .使 用 描述 以 及 功能 说 明 等 ,并 用 可 信 验 证 机 制 确保 数据 不 被 算 改 。 


【条 款 解 读 38】 
一 、 目 的 和 意图 
描述 第 四 级 信息 系统 安全 保护 环境 结构 化 设计 技术 要 求 。 
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二 、 解 释 和 示例 

GB/T 24856 一 2009 的 8. 3. 5( 系 统 安全 保护 环境 结构 化 设计 技术 要 求 ), 从 安全 保护 
部 件 结构 化 设计 、 安 全 保护 部 件 互联 结构 化 设计 、 重 要 参数 结构 化 设计 等 方面 ,对 安全 保 
护 环境 结构 化 设计 的 技术 要 求 进行 描述 。 

安全 机 制 是 操作 系统 安全 的 基础 ,也 是 信息 系统 安全 的 核心 。 然 而 ,即使 信息 系统 中 
存在 非常 完善 的 安全 机 制 ,但 是 如 果 信 息 系统 的 各 组 成 模块 间 的 接口 关系 不 清晰 ,逻辑 和 
调用 关系 混乱 ,那么 系统 中 就 及 可 能 存在 隐蔽 通道 ,致使 攻击 者 可 以 绕 过 系统 的 安全 机 制 
访问 客体 资源 ,使 得 系统 中 的 重要 信息 缺乏 基础 安全 保障 。 相 反 , 如 果 信 息 系统 在 设计 时 
明确 定义 了 各 组 成 模块 的 功能 ,并 且 依据 一 个 严谨 的 安全 体系 结构 确定 了 模块 间 的 接口 
关系 ,同时 利用 相应 的 方法 验证 了 每 一 模块 的 工程 实现 都 是 正确 的 ,没有 引信 新 的 接口 ， 
这 样 就 可 以 保证 系统 中 的 所 有 信息 流 都 是 预先 设计 好 的 ,避免 出 现 隐 苹 通 道 , 也 就 避免 了 
系统 安全 机 制 被 旁 路 的 风险 。 因 此 ,对 于 高 等 级 信息 系统 开发 而 言 , 最 大 的 难点 不 在 于 安 
全 功能 的 实现 ,而 在 于 安全 保证 机 制 的 实现 , 即 确保 系统 的 TCB 始终 有 效 、 不 被 旁 路 。 基 
于 上 述 原 因 ,GB 17859 一 1999 对 四 级 以 上 信息 系统 提出 了 结构 化 保证 的 要 求 。 因 此 ,高 
等 级 信息 系统 结构 化 保证 技术 是 本 课题 研究 需要 解决 的 主要 内 容 之 一 。 

本 课题 拟 从 安全 程序 结构 化 .重要 数据 结构 化 .连接 交互 结构 化 三 个 方向 人 手 , 实 现 
对 重要 信息 系统 的 结构 化 保证 。 其 中 安全 程序 结构 化 主要 针对 安全 部 件 , 实 现 系统 层次 
清晰 化 系统 功能 模块 化 .函数 调用 单 向 化 ;重要 数据 结构 化 主要 实现 系统 数据 的 结构 化 
保护 ,包括 策略 模型 的 形式 化 .系统 关键 数据 结构 的 局 部 化 \ 程 序 对 关键 数据 结构 访问 的 
范围 控制 ,以 及 数据 在 不 同 层次 之 间 的 传输 ;连接 交互 结构 化 用 于 保证 安全 部 件 TCB 的 
无 颖 连接 ,完成 从 安全 部 件 TCB 出 发 ,通过 基于 隔离 保护 机 制 的 TCB 扩展 ,将 TCB 扩展 
到 整个 系统 的 过 程 。 

对 结构 化 的 上 述 三 个 方向 而 言 ,Linux 操作 系统 的 安全 程序 结构 化 改造 是 本 课题 在 
结构 化 保证 技术 研究 方面 的 重点 。 对 Linux 进行 结构 化 改造 拟 通 过 对 操作 系统 进行 层次 
划分 和 实现 层次 间 的 单 向 调用 关系 来 完成 ,如 图 1-2 所 示 。 首 先 , 分 析 Linux 操作 系统 的 


安全 策略 | ________- __| 管理 信息 处 理 
执行 模块 模块 
人 | 
| 内 核 层 1 
| 


1 

人 1 
标记 管理 模块 ~ 一 ' 
1 


1 
存储 介质 加 帝 | 
保护 模块 | 
Ce 1 


图 1-2 Linux 操 作 系统 结构 化 层次 调用 关系 


a 8 
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组 成 模块 ,明确 各 模块 的 功能 和 其 间 的 接口 关系 ,分 离 系 统 关键 安全 部 件 与 其 他 部 件 , 完 
成 操作 系统 内 核 的 层次 化 改造 ,将 系统 划分 为 应 用 层 、 系 统 层 ,内核 层 和 驱动 层 。 其 次 , 通 
过 层次 间 调 用 关系 检查 机 人 制 保障 层次 间 的 单 向 调用 关系 ,保证 系统 在 正常 运行 状态 时 ,应 
用 层 、 系 统 层 、 内 核 层 和 驱动 层 之 间 的 相对 隔离 。 这 样 ,就 可 以 保证 操作 系统 建立 在 一 个 
明确 的 层次 化 的 安全 体系 结构 之 上 ,各 层次 之 间 的 信息 流 都 经 过 安全 检查 ,确保 系统 中 不 
会 有 非 预期 的 信息 流 存 在 。 
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9 第 五 级 系统 安全 保护 环境 设计 


【条 款 解 读 39】 

一 、 目 的 和 意图 

描述 第 五 级 信息 系统 安全 保护 环境 的 安全 设计 要 求 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 第 9 章 ( 第 五 级 系统 安全 保护 环境 设计 ) ,从 设计 目标 、 设 计 
策略 和 设计 技术 要 求 等 方面 ,对 第 五 级 信息 系统 的 安全 保护 环境 设计 的 要 求 进行 简要 
描述 。 

有 关 第 五 级 系统 安全 保护 环境 设计 要 求 的 进一步 解释 ,参见 条 款 解读 40 一 条 款 解 
读 42。 


1.7.1 安全 设计 目标 


【标准 条 款 】 
GB/T 24856 一 2009 


9.1 设计 目标 

第 五 级 系统 安全 保护 环境 的 设计 目标 是 : 按照 GB 17859 一 1999 对 第 五 级 系统 的 安全 保护 要 
求 , 在 第 四 级 系统 安全 保护 环境 的 基础 上 ,实现 访问 监控 器 ,仲裁 主体 对 客体 的 访问 ,并 支持 安全 管 
理 职 能 。 审 计 机 制 可 根据 审计 记录 及 时 分 析 发 现 安全 事件 并 进行 报警 ,提供 系统 恢复 机 制 , 以 使 系 
统 具 有 更 强 的 抗 渗透 能 力 。 


【条 款 解 读 40】 
一 、 目 的 和 意图 
描述 第 五 级 信息 系统 安全 保护 环境 的 安全 设计 目标 。 
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二 、 解释 和 示例 

GB/T 24856 一 2009 的 9.1( 设 计 目 标 ) ,对 第 五 级 信息 系统 安全 保护 环境 的 安全 设计 
目标 进行 描述 。 强 调 第 五 级 信息 系统 安全 保护 环境 的 安全 设计 是 对 GB 17859 一 1999 访 
问 验 证 保护 级 安全 保护 要 求 的 具体 实现 ,是 在 第 四 级 信息 系统 安全 保护 环境 设计 的 基础 
上 ,在 安全 专 控 部 门 的 指导 下 进行 安全 保护 环境 的 设计 。 安 全 设计 目标 是 达到 安全 专 控 
部 门 所 要 求 的 安全 保护 能 力 的 水 平 。 

第 五 级 信息 系统 安全 保护 环境 的 安全 设计 目标 ,应 根据 信息 安全 等 级 保护 有 关 政 策 
法 规 ( 如 公 通 字 [2004]66 号 文件 和 公 通 字 [2007]43 号 文件 等 ) 对 第 五 级 信息 系统 安全 要 
求 的 描述 ,按照 风险 分 析 的 方法 所 确定 的 目标 信息 系统 的 安全 需求 ,以 及 信息 安全 等 级 保 
护 相 关 标 准 对 适用 于 第 五 级 信息 系统 的 安全 要 素 和 安全 产品 的 具体 要 求 ,综合 分 析 进 行 
确定 。 

1.7.2 ”安全 设计 策略 


【标准 条 款 】 
GB/T 24856 一 2009 


9.2 设计 策略 

第 五 级 系统 安全 保护 环境 的 设计 策略 是 : 遵循 GB 17859 一 1999 的 4, 5 中 “访问 监控 器 本 身 是 
抗 复 改 的 ;必须 足够 小 ,能 够 分 析 和 测试 >。 在 设计 和 实现 访问 监控 器 时 ,应 尽力 降低 其 复杂 性 ; 提 
供 系统 恢复 机 制 ; 使 系统 具有 更 强 的 抗 渗 透 能 力 ; 所 设计 的 访问 监控 器 能 进行 必要 的 分 析 与 测试 ， 
具有 抗 算 改 能 力 。 

第 五 级 系统 安全 保护 环境 的 设计 通过 第 五 级 的 安全 计算 环境 、 安 全 区 域 边 界 、 安 全 通信 网 络 以 
及 安全 管理 中 心 的 设计 加 以 实现 。 


【条 款 解读 41】 

一 、 目 的 和 意 

描述 第 五 级 信息 系统 安全 保护 环境 的 安全 设计 策略 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 9.2( 设 计策 略 ) ,强调 第 五 级 信息 系统 安全 保护 环境 的 安全 设 
计 应 遵循 GB 17859 一 1999 的 4.5 的 相关 要 求 ,在 第 四 级 信息 系统 安全 保护 环境 安全 设 
计 的 基础 上 ,要 求 访 问 监控 器 本 身 是 抗 自 改 的 .必须 足够 小 能够 分 析 和 测试 ,并 在 设计 和 
实现 时 尽量 降低 复杂 性 ,使 系统 具有 很 高 的 抗 渗透 能 力 ,并 使 安全 系统 具有 自身 恢复 的 能 
力 ; 具 体 通 过 对 安全 计算 环境 、 安 全 区 域 边界 、 安 全 通信 网 络 的 安全 设计 ,以 及 安全 管理 中 
心 的 设计 ,实现 第 五 级 信息 系统 安全 保护 环境 的 安全 设计 目标 。 

在 第 五 级 信息 系统 安全 保护 环境 的 安全 设计 中 ,安全 策略 应 是 对 实现 第 五 级 信息 系 
统 安 全 保护 环境 安全 功能 的 安全 技术 、 机 制 \ 原 理 和 方法 的 完整 描述 。 
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1.7.3 安全 设计 技术 要 求 


【标准 条 款 】 
GB/T 24856 一 2009 


9.3 设计 技术 要 求 


第 五 级 系统 安全 保护 环境 设计 技术 要 求 另行 制定 。 

【条 款 解读 42】 

一 、 目 的 和 意 

指出 第 五 级 信息 系统 安全 保护 环境 的 安全 设计 技术 要 求 需要 另行 制定 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 9.3( 设 计 技 术 要 求 ) ,指出 第 五 级 信息 系统 安全 保护 环境 的 安 
全 设计 技术 要 求 需 要 根据 有 关 规 定 , 由 有 关 职 能 部 门 另行 制定 。 
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10 定 级 系统 互联 设计 


【条 款 解 读 43】 

一 、 目 的 和 意图 

描述 不 同安 全 等 级 信息 系统 之 间 互 联 安 全 保护 环境 的 安全 设计 要 求 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 第 10 章 ( 定 级 系统 互联 设计 ), 从 设计 目标 、 设 计策 略 和 设计 
技术 要 求 等 方面 ,对 不 同安 全 等 级 信息 系统 之 间 互 联 的 安全 保护 环境 的 安全 设计 要 求 进 
行 描述 。 

有 关 信 息 系 统 互联 安全 保护 环境 的 安全 设计 要 求 的 进一步 解释 ,参见 条 款 解 
读 44 一 条 款 解读 46。 


1.8.1 安全 设计 目标 


【标准 条 款 】 
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10.1 设计 目标 
定 级 系统 互联 的 设计 目标 是 : 对 相同 或 不 同等 级 的 定 级 系统 之 间 的 互联 、 互 通 \ 互 操作 进行 安 


全 保护 ,确保 用 户 身份 的 真实 性 、 操 作 的 安全 性 以 及 抗 抵赖 性 ,并 按 安全 策略 对 信息 流向 进行 严格 
控制 ,确保 进出 安全 计算 环境 、 安 全 区 域 边界 以 及 安全 通信 和 网络 的 数据 安全 。 


【条 款 解 读 44】 

一 、 目 的 和 意图 

描述 信息 系统 互联 安全 保护 环境 的 安全 设计 目标 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 10.1( 设 计 目 标 ), 对 相同 或 不 同安 全 等 级 信息 系统 之 间 互 联 
保护 环境 的 安全 设计 目标 进行 描述 。 指 出 不 同 或 相同 安全 保护 等 级 系统 之 间 互 联 的 安全 
设计 目标 是 确保 进出 安全 计算 环境 、 安 全 区 域 边界 以 及 安全 道 信和 网 络 的 数据 安全 保护 能 
力 ,以 及 各 安全 计算 环境 对 外 部 攻击 的 抵御 能 力 达 到 其 应 具有 的 安全 水 平 。 


1.8.2 安全 设计 策略 
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10.2 设计 策略 
定 级 系统 互联 的 设计 策略 是 : 遵循 GB 17859 一 1999 对 各 级 系统 的 安全 保护 要 求 ,在 各 定 级 系 
统 的 计算 环境 安全 ,区 域 边界 安全 和 通信 和 网络 安全 的 基础 上 ,通过 安全 管理 中 心 增加 相应 的 安全 互 


联 策略 ,保持 用 户 身份 . 主 / 客 体 标 记 、 访 问 控制 策略 等 安全 要 素 的 一 致 性 ,对 互联 系统 之 间 的 互 操 
作 和 数据 交换 进行 安全 保护 。 


【条 款 解读 45】 

一 、 目 的 和 意图 

描述 信息 系统 互联 安全 保护 环境 的 安全 设计 策略 。 

二 、 解 释 和 示例 

GB/T 24856 一 2009 的 10. 2( 设 计策 略 ), 对 相同 或 不 同安 全 等 级 信息 系统 之 间 互 联 
安全 保护 环境 的 安全 设计 策略 进行 描述 。 指 出 通过 安全 管理 中 心 增加 相应 的 安全 互联 策 
略 ,保持 用 户 身份 . 主 /客体 标记 、 访 问 控制 策略 等 安全 要 素 的 一 致 性 ,对 互联 系统 之 间 的 
互 操作 和 数据 交换 进行 安全 保护 ,达到 各 安全 等 级 的 系统 之 间 实 现 安全 互联 的 目标 。 

在 信息 系统 互联 安全 保护 环境 的 具体 设计 中 ,安全 策略 应 是 对 实现 信息 系统 安全 保 
护 环境 安全 功能 的 安全 技术 、 机 制 、 原 理 和 方法 的 完整 描述 。 


1.8.3 安全 设计 技术 要 求 


【标准 条 款 】 
GB/T 24856 一 2009 


10.3 设计 技术 要 求 
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【条 款 解 读 46】 

一 、 目 的 和 意图 

描述 信息 系统 互联 安全 保护 环境 的 安全 设计 技术 要 求 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 10. 3( 设 计 技 术 要 求 ) ,从 安全 互联 部 件 设计 技术 要 求 、 跨 定 级 
系统 安全 管理 中 心 设计 技术 要 求 等 方面 ,对 信息 系统 互联 安全 保护 环境 的 安全 设计 技术 
要 求 进行 描述 。 

有 关 信 息 系 统 互联 安全 保护 环境 的 安全 设计 技术 要 求 的 进一步 解释 ,参见 条 款 解 
读 47 和 条 款 解 读 48。 


【标准 条 款 】 
GB/T 24856—2009 


10.3.1 安全 互联 部 件 设 计 技术 要 求 
应 通过 通信 网 络 交换 网 关 与 各 定 级 系统 安全 保护 环境 的 安全 通信 网 络 部 件 相 连接 ,并 按 互 联 
互通 的 安全 策略 进行 信息 交换 ,实现 安全 互联 部 件 。 安 全 策略 由 跨 定 级 系统 安全 管理 中 心 实施 。 


【条 款 解 读 47 了 】 

一 、 目 的 和 意图 

描述 信息 系统 互联 安全 保护 环境 安全 互联 部 件 的 安全 设计 技术 要 求 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 10. 3. 1( 安 全 互联 部 件 设计 技术 要 求 ), 对 信息 系统 互联 安全 
保护 环境 的 安全 设计 技术 要 求 进行 描述 。 

信息 系统 互联 安全 保护 环境 的 安全 互联 部 件 的 设计 ,主要 是 对 “通信 网 络 交换 网 关 ” 
的 设计 ,该 网 关 通 过 实施 由 跨 定 级 系统 安全 管理 中 心 统一 控制 和 管理 的 安全 策略 ,实现 多 
级 安全 互联 的 安全 要 求 。 

多 级 安全 互联 是 以 各 级 安全 应 用 平台 自身 安全 保护 为 基础 , 辅 以 相关 的 互联 网 络 的 
安全 机 制 , 实 现 多 级 安全 应 用 平台 之 间 的 操作 和 数据 传输 与 交换 的 安全 保护 。 这 些 安全 
机 制 主要 包括 : 身份 鉴别 .访问 控制 .区 域 边界 防护 、 数 据 传输 安全 保护 、 抗 抵赖 (行为 不 
可 和 否认) 性 、 系 统 可 用 性 ,以 及 可 信和 连接 等 。 


【标准 条 款 】 
GB/T 24856 一 2009 


10.3.2 跨 定 级 系统 安全 管理 中 心 设计 技术 要 求 

应 通过 安全 通信 网 络 部 件 与 各 定 级 系统 安全 保护 环境 中 的 安全 管理 中 心 相连 ,主要 实施 跨 定 
级 系统 的 系统 管理 \ 安 全 管理 和 审计 管理 。 

10. 3.2.1 系统 管理 


应 通过 系统 管理 员 对 安全 互联 部 件 与 相同 和 不 同等 级 的 定 级 系统 中 与 安全 互联 相关 的 系统 资 
源 和 运行 进行 配置 和 管理 ,包括 用 户 身 份 管理 \ 安 全 互联 部 件 资源 配置 和 管理 等 。 
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10. 3.2.2 安全 管理 

应 通过 安全 管理 员 对 相同 和 不 同等 级 的 定 级 系统 中 与 安全 互联 相关 的 主 /客体 进行 标记 管理 ， 
使 其 标记 能 准确 反映 主 / 客 体 在 定 级 系统 中 的 安全 属性 ;对 主体 进行 授权 ,配置 统一 的 安全 策略 ,并 
确保 授权 在 相同 和 不 同等 级 的 定 级 系统 中 的 合理 性 。 

10. 3.2.3 审计 管理 

应 通过 安全 审计 员 对 安全 互联 部 件 的 安全 审计 机 制 各 定 级 系统 的 安全 审计 机 制 以 及 与 跨 定 
级 系统 互联 有 关 的 安全 审计 机 制 进行 集中 管理 。 包 括 根据 安全 审计 策略 对 审计 记录 进行 分 类 ; 提 
供 按时 间 段 开启 和 关闭 相应 类 型 的 安全 审计 机 制 ; 对 各 类 审计 记录 进行 存储 管理 和 查询 等 。 对 审 
计 记 录 应 进行 分 析 , 并 根据 分 析 结 果 进 行 及 时 处 理 。 


【条 款 解读 48】 

一 、 目 的 和 意图 

描述 信息 系统 互联 安全 保护 环境 的 跨 定 级 系统 安全 管理 中 心 设计 技术 要 求 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 10. 3.2( 跨 定 级 系统 安全 管理 中 心 设计 技术 要 求 ), 从 系统 管 
理 、 安 全 管理 和 审计 管理 等 方面 ,对 信息 系统 互联 安全 保护 环境 的 跨 定 级 系统 安全 管理 中 
心 设计 技术 要 求 进行 描述 。 

多 级 安全 互联 是 指 通 过 不 同安 全 等 级 的 安全 应 用 平台 之 间 的 安全 连接 , 为 不 同安 全 
平台 之 问 的 互 操作 提供 安全 支持 , 既 要 确保 进行 操作 的 用 户 身份 的 真实 性 和 操作 的 合法 
性 ,又 要 确保 数据 出 /人 安全 计算 环境 的 合法 性 和 数据 在 传输 过 程 中 的 安全 性 。 

多 级 安全 互联 是 以 各 级 安全 应 用 平台 自身 安全 保护 为 基础 , 辅 以 相关 的 互联 网 络 的 
安全 机 制 ,实现 多 级 安全 应 用 平台 之 间 的 操作 和 数据 传输 与 交换 的 安全 保护 。 这 些 安全 
机 制 主 要 包括 : 身份 鉴别 .访问 控制 .区 域 边 界 防护 .数据 传输 安全 保护 、 抗 抵赖 (行为 不 
可 和 否认) 性 .系统 可 用 性 ,以 及 可 信 连 接 等 。 

以 下 是 多 级 互联 安全 方案 设计 的 示例 。 

多 级 互联 网 关 的 拓扑 结构 如 图 1-3 所 示 , 各 级 互联 网 网 关 部 署 在 专 网 区 域 边界 ,隔离 
专 网 与 公 网 ,以 基于 等 级 标记 的 安全 互联 协议 来 进行 公 网 上 的 通信 和 网络 。 

1. 拓扑 结构 图 

2. 安全 功能 

(1) 互联 网 关 功 能 

各 级 互联 安全 网 关 基 于 等 级 标记 信息 实施 通信 网 络 访问 控制 。 等 级 标记 包括 等 级 
ID, 指 明 等 级 级 别 ,发 起 连接 的 主体 标识 ,关联 的 范畴 信息 ,安全 计算 环境 的 安全 状态 与 
配置 信息 等 。 互 联 安全 功能 如 下 所 述 。 

中 专 网 接 出 : 解析 内 部 连接 IP 等 级 标记 信息 ,分 析 主 体 信息 ,与 专 网 用 户 管理 系统 
等 联动 确定 主体 访问 权限 ,确定 主体 能 否 外 连接 出 。 

加 专 网 接 入 : 解析 外 部 连接 IP 等 级 标记 信息 ,分 析 主体 信息 ,与 全 局 安全 基础 设施 、 
管理 中 心 等 联动 确定 主体 访问 权限 ,确定 主体 能 和 否 外 连接 人 ,如 能 接 人 , 则 与 访问 控制 代 
理 联 动 分 配 代理 主体 ,确定 权限 ,已 定义 的 访问 控制 规则 由 代理 主体 访问 专 网 。 
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@ 对 接 人 接 出 事件 实施 审计 。 

@ 管理 功能 ,包括 : 

。 接 人 / 接 出 通信 网 络 访问 控制 策略 管理 ; 

。 基于 等 级 标记 的 安全 互联 协议 配置 管理 ; 

。 证 书 等 密码 管理 ; 

。 安全 管理 员 的 认证 管理 。 

多 级 互联 安全 网 关 的 自身 安全 由 基于 可 信安 全 计算 机 的 硬件 平台 结合 相应 级 别 的 安 
全 操作 系统 来 保证 ,具体 指标 是 保持 与 其 管理 的 专 网 级 别 一 致 。 

(2) 互联 网 关 协 议 

互联 网 关 协 议 需要 保证 : 

@ 数据 完整 性 一 一 验证 数据 在 传输 、 处 理 时 是 否 被 修改 ; 

@ 实体 标识 和 认证 一 一 证 明 安全 互联 网 关 身份 ,证 实 消息 的 原 发 者 ; 

@ 行为 不 可 否认 性 一 一 提供 通信 双方 不 可 否认 的 参与 证 明 ; 

@ 数据 保密 性 一 一 用 密码 加 密 方式 保证 数据 在 传输 和 处 理 时 的 秘密 性 ; 

@ 系统 可 用 性 一 一 保证 数据 的 传输 和 计算 处 理 不 拒绝 授权 用 户 的 访问 ; 


@ 数据 可 用 性 一 一 保证 不 同等 级 信息 的 安全 流动 和 操作 。 
互联 网 关 协 议 以 我 国 自主 研制 的 TNC 协议 为 基础 进行 设计 。 
(3) 专 网 


专 网 的 安全 计算 环境 提供 等 级 标记 的 实现 与 管理 ,为 了 实现 多 级 互联 , 专 网 需要 实现 
如 下 功能 : 

@ 对 接 入 / 接 出 的 主体 能 够 标识 ,能 够 对 主体 进行 认证 与 授权 ; 

@ 能 够 定义 全 网 的 安全 策略 ,确定 内 部 主体 、 代 理 外 部 主体 的 访问 控制 规则 并 实施 
资源 控制 ; 

@ 对 主体 行为 实施 审计 ; 

图 等 级 标记 的 实现 、 配 置 和 管理 ; 

@ 内 部 子 网 的 多 级 互联 管理 与 策略 配置 。 

(4) 安全 基础 设施 (第 三 方 公信 方 )/ 安 全 管理 中 心 

安全 基础 设施 提供 如 下 服务 : 

@ PKI/CA 的 证 书 服务 ; 

@ 认证 中 心 ; 

@ PMI; 

@ 密码 服务 。 

安全 管理 中 心 提供 如 下 服务 : 

Q@ 安全 互联 网 关 的 策略 配置 ; 

@ 等 级 标记 的 全 局 管理 ; 

@ 审计 管理 。 

3. 系统 组 成 

(1) 二 级 安全 互联 网 关 的 组 成 

二 级 安全 互联 网 关 由 以 下 部 分 组 成 : 
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@ 多 级 安全 互联 通信 网 络 访问 控制 软件 ; 

@ 实现 了 自主 访问 控制 、 客 体重 用 、 身 份 鉴 别 等 安全 功能 的 二 级 操作 系统 ; 

图 安全 强度 达到 二 级 要 求 的 可 信 计 算 硬 件 平台 。 

(2) 三 级 安全 互联 网 关 的 组 成 

三 级 安全 互联 网 关 由 以 下 部 分 组 成 : 

@ 多 级 安全 互联 通信 网 络 访问 控制 软件 ; 

@ 实现 了 自主 访问 控制 强制 访问 控制 客体 重用 、 身 份 鉴别 等 安全 功能 的 三 级 安全 
操作 系统 ， 

图 安全 强度 达到 三 级 要 求 的 可 信 计 算 硬件 平台 。 

(3) 四 级 安全 互联 网 关 的 组 成 

四 级 安全 互联 网 关 由 以 下 部 分 组 成 : 

@ 多 级 安全 互联 通信 网 络 访问 控制 软件 ; 

@ 四 级 安全 操作 系统 ; 

图 安全 强度 达到 四 级 要 求 的 可 信 计 算 硬 件 平台 。 

在 上 述 多 级 互联 安全 方案 设计 中 涉及 以 下 主要 技术 : 

@ 多 级 可 信 互 联 模型 和 多 级 安全 互联 体系 结构 ; 

@ 基于 标记 的 跨 级 跨 区 域 可 信 互 联 技术 ; 

@ 区 域内 部 跨 级 数据 安全 交换 技术 ，; 

@ 跨 级 跨 系 统 认 证 、 授 权 与 访问 控制 技术 ; 

@@ 跨 级 访问 策略 冲突 检测 消解 技术 ， 

@ 支持 多 级 之 间 任 意 互联 的 多 级 安全 互联 技术 。 
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【标准 条 款 】 
GB/T 24856 一 2009 


附录 A( 资 料 性 附录 ) 访 问 控制 机 制 设 计 


【条 款 解读 49】 

一 、 目 的 和 意图 

以 资料 性 附录 的 形式 ,给 出 自主 访问 控制 机 制 设 计 和 强制 访问 控制 设计 的 基本 方法 。 
二 、 解 释 和 示例 

GB/T 24856 一 2009 的 附录 A( 访 问 控制 机 制 设计 ), 包 括 自主 访问 控制 设计 和 强制 

访问 控制 设计 , 共 两 节 , 下 面 分 别 对 A.1 和 A. 2 进行 解释 。 
有 关系 统 安全 互联 设计 技术 要 求 的 进一步 解释 ,参见 条 款 解读 50 和 条 款 解读 51。 
si 46 se 
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【标准 条 款 】 
GB/T 24856—2009 


A.1 自主 访问 控制 机 制 设计 

系统 在 初始 配置 过 程 中 ,安全 管理 中 心 首先 需要 对 系统 中 的 主体 及 客体 进行 登记 命名 ,然后 根 
据 自 主 访问 控制 安全 策略 ,按照 主体 对 其 创建 客体 的 授权 命令 ,为 相关 主体 授权 ,规定 主体 允许 访 
间 的 客体 和 操作 ,并 形成 访问 控制 列表 。 自 主 访问 控制 机 制 结构 如 图 A-1 所 示 。 


扩 行 程序 主体 请 求 访问 客体 
i 4 
主体 计 求 | 菇 名 


主体 访问 权限 | 获取 。 | 


i | 和合 _| 符合 性 检查 
这 
客体 / 内 容 / 百 王 态 司机 


喧 骨 


用 户 请 求 定制 策 咯 设置 


用 户 身 份 和 授权 管理 审计 管理 
安全 管理 中 心 


图 A-1 自主 访问 控制 机 制 结构 


有 户 登录 系统 时 ,首先 进行 身份 鉴别 ,经 确认 为 合法 的 注册 用 户 可 登录 系统 ,并 执行 相应 的 程 
序 。 当 执行 程序 主体 发 出 访问 系统 中 客体 资源 的 请 求 后 ,自主 访问 控制 安全 机 制 将 截获 该 请 求 , 然 
后 查询 对 应 的 访问 控制 列表 。 如 果 该 请 求 符合 自主 访问 控制 列表 规定 的 权限 , 则 允许 其 执行 ;否则 
将 拒绝 执行 ,并 将 此 行为 记录 在 审计 记录 中 。 


【条 款 解 读 50】 

一 、 目 的 和 意图 

描述 自主 访问 控制 设计 的 基本 方法 和 结构 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 附录 A.1( 自 主 访问 控制 机 制 设计 ), 对 自主 访问 控制 机 制 的 
结构 和 处 理 流程 进行 了 描述 。 

操作 系统 的 访问 控制 是 操作 系统 安全 控制 保护 中 的 重要 一 环 。 它 是 在 身份 识别 的 基 
础 上 ,根据 身份 对 提出 的 资源 访问 请 求 加 以 控制 。 用 户 只 能 根据 自己 的 权限 大 小 来 访问 
系统 资源 ,而 不 能 越权 访问 。 

文件 或 数据 管理 系统 采用 的 访问 控制 的 一 个 通用 工具 是 访问 矩阵 , 见 表 1-1。 甜 阵 
的 一 维 由 用 户 标 识 组 成 , 另 一 维 列 出 了 可 被 访问 的 对 象 。 和 矩阵 中 的 每 一 项 指明 了 该 用 户 
对 该 对 象 的 访问 权限 。 

对 用 户 身 份 、 应 用 数据 的 权限 、 系 统 资源 的 标记 等 进行 统一 安全 管理 ,实现 系统 的 整 
体 安 全 控制 。 
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表 1-1 访问 矩阵 


1.9.2 ”强制 访问 控制 设计 


【标准 条 款 】 
GB/T 24856 一 2009 


A.2 强制 访问 控制 机 制 设计 


系统 在 初始 配置 过 程 中 ,安全 管理 中 心 需要 对 系统 中 的 确定 主体 及 其 所 控制 的 客体 实施 身份 
管理 ,标记 管理 授权 管理 和 策略 管理 。 身 份 管理 确定 系统 中 所 有 合法 用 户 的 身份 .工作 密 钥 、 证 书 
等 与 安全 相关 的 内 容 。 标 记 管理 根据 业务 系统 的 需要 ,结合 客体 资源 的 重要 程度 ,确定 系统 中 所 有 
客体 资源 的 安全 级 别 及 范畴 ,生成 全 局 客体 安全 标记 列表 ;同时 根据 用 户 在 业务 系统 中 的 权限 和 和 角 
色 确 定 主体 的 安全 级 别 及 范畴 ,生成 全 局 主体 安全 标记 列表 。 授 权 管 理 根据 业务 系统 需求 和 安全 
状况 ,授予 用 户 访问 客体 资源 的 权限 ,生成 强制 访问 控制 策略 和 级 别 调整 策略 列表 。 策 略 管理 则 根 
据 业 务 系统 的 需求 ,生成 与 执行 主体 相关 的 策略 ,包括 强制 访问 控制 策略 和 级 别 调整 策略 。 除 此 之 


外 ,安全 审计 员 需 要 通过 安全 管理 中 心 制定 系统 审计 策略 ,实施 系统 的 审计 管理 。 强 制 访 问 控制 机 
制 结构 如 图 A-2 所 示 。 


| 所 行程 序 主体 请 求 访问 客体 


执行 


主体 轩 冰 返回 


一 ”身份 不 符合 


级 别 调整 
检查 


一 一 | 审计 


客体 强制 访问 级 别 调整 | 
客体 名 / 标记 人- ~/ 内 容 /| 控制 策略 策略 


户 身 份 管理 标记 管理 、 授 权 管理 、 策略 管理 审计 管理 


安全 管理 中 心 


A-2 强制 访问 控制 机 制 结构 
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系统 在 初始 执行 时 ,首先 要 求 用 户 标识 自己 的 身份 ,经 过 系统 身份 认证 确认 为 授权 主体 后 , 系 
统 将 下 载 全 局 主 / 客 体 安全 标记 列表 及 与 该 主体 对 应 的 访问 控制 列表 ,并 对 其 进行 初始 化 。 当 执行 
程序 主体 发 出 访问 系统 中 客体 资源 的 请 求 后 ,系统 安全 机 制 将 截获 该 请 求 , 并 从 中 取出 访问 控制 相 
关 的 主体 客体 \ 操 作 三 要 素 信息 ,然后 查询 全 局 主 /客体 安全 标记 列表 ,得 到 主 /客体 的 安全 标记 信 
上 ,并 依据 强制 访问 控制 策略 对 该 请 求实 施 策略 符合 性 检查 。 如 果 该 请 求 符 合 系统 强制 访问 控制 
策略 , 则 系统 将 允许 该 主体 执行 资源 访问 。 否 则 ,系统 将 进行 级 别 调整 审核 , 即 依 据 级 别 调整 策略 ， 
判断 发 出 该 请 求 的 主体 是 否 有 权 访 问 该 客体 。 如 果 上 述 检查 通过 ,系统 同样 允许 该 主体 执行 资源 
访问 ,否则 ,该 请 求 将 被 系统 拒绝 执行 。 

系统 强制 访问 控制 机 制 在 执行 安全 策略 过 程 中 ,需要 根据 安全 审计 员 制 定 的 审计 策略 ,对 用 户 的 
请 求 及 安全 决策 结果 进行 审计 ,并 且 将 生成 的 审计 记录 发 送 到 审计 服务 器 存储 , 供 安全 审计 员 管 理 。 


【条 款 解读 51】 

一 、 目 的 和 意图 

描述 强制 访问 控制 设计 的 基本 方法 和 结构 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 附录 A.2( 强 制 访问 控制 机 制 设计 ), 对 强制 访问 控制 机 制 的 
结构 和 处 理 流程 进行 了 描述 。 

为 了 确保 高 等 级 信息 系统 的 安全 ,在 设计 和 实现 其 强制 访问 控制 机 制 的 过 程 中 ,必须 
兼顾 敏感 信息 的 保密 性 保护 与 完整 性 保护 。 然 而 实践 证 明 , 单 纯 地 使 保密 性 保护 机 制 与 
完整 性 保护 机 制 并 存 于 同一 信息 系统 会 导致 绝对 的 隔离 限制 ,从 而 形成 “信息 孤岛 ”, 严 重 
降低 系统 可 用 性 。 因 此 ,建立 实用 的 、 可 实现 的 \、 保 密 性 与 完整 性 保护 相 结 合 的 标记 和 强 
制 访问 控制 工程 模型 是 本 课题 研究 需要 解决 的 主要 技术 内 容 之 一 。 

标记 是 实施 强制 访问 控制 的 基础 和 依据 ,为 正确 实施 强制 访问 控制 机 制 ,必须 对 信息 
系统 中 的 主体 和 客体 进行 安全 标记 。 安 全 标记 可 以 采用 物理 绑 定 和 逻辑 绑 定 两 种 方式 。 
物理 绑 定 是 指 直 接 修改 文件 数据 结构 ,将 安全 标记 作为 文件 属性 之 一 存储 在 硬盘 上 。 刘 
辑 绑 定 不 对 主 / 客 体 本 身 的 数据 结构 进行 修改 ,而 是 道 过 维护 全 局 主 / 客 体 标 记 列 表 为 主 / 
客体 绑 定安 全 属性 。 本 课题 将 研究 基于 逻辑 绑 定 的 主 / 客 体 全程 标 记 方 法 。 

强制 访问 控制 的 结构 流程 如 图 A-2 所 示 。 强 制 访问 控制 模块 截获 资源 访问 请 求 后 ， 
分 离 相关 的 主体 、 客 体 信息 ,通过 查询 全 局 主 /客体 标记 列表 ,得 到 主 / 客 体 的 安全 属性 。 
依据 强制 访问 控制 策略 对 该 请 求实 施 策略 符合 性 检查 。 对 于 违反 强制 访问 控制 策略 的 资 
源 访问 请 求 , 系 统 将 进行 级 别 调整 审核 。 因 此 ,还 需 结合 应 用 流程 研究 强制 访问 控制 策略 
制定 方法 ,以 及 策略 符合 性 检查 和 级 别 调整 检查 的 实现 机 制 。 
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【标准 条 款 】 
GB/T 24856 一 2009 


附录 了 B( 资 料 性 附录 ?第 三 级 系统 安全 保护 环境 设计 示例 
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【条 款 解 读 52】 

一 、 目 的 和 意图 

以 资料 性 附录 的 形式 ,描述 第 三 级 信息 系统 安全 保护 环境 设计 的 基本 方法 。 
二 、 解释 和 示例 

GB/T 24856 一 2009 的 附录 B( 第 三 级 系统 安全 保护 环境 设计 ) ,包括 功能 与 流程 、 子 


系统 间接 口 和 重要 数据 结构 , 共 三 节 , 分 别 对 B. 1、B. 2 和 B. 3 进行 解释 。 


有 关 第 三 级 信息 系统 安全 保护 环境 设计 的 进一步 解释 ,参见 条 款 解读 53 一 条 款 解 


读 55。 


1.10.1 功能 与 流程 
【标准 条 款 】 


GB/T 24856 一 2009 


B.1 功能 与 流程 

根据 “一 个 中 心 ” 管 理 下 的 “三 重 保护 ”体系 框架 ,构建 安全 机 制 和 策略 ,形成 定 级 系统 的 安全 保 
护 环境 。 该 环境 分 为 如 下 四 部 分 : 安全 计算 环境 、 安 全 区 域 边界 、 安 全 通信 网 络 和 安全 管理 中 心 。 
每 个 部 分 由 1 个 或 若干 个 子 系统 (安全 保护 部 件 ) 组 成 , 子 系统 具有 安全 保护 功能 独立 完整 、 调 用 接 
口 简洁 ,与 安全 产品 相对 应 和 易于 管理 等 特征 。 安 全 计算 环境 可 细 分 为 节点 子 系统 和 典型 应 用 支 
撑 子 系统 ;安全 管理 中 心 可 细 分 为 系统 管理 子 系统 、 安 全 管理 子 系统 和 审计 子 系统 。 以 上 各 子 系统 
之 间 的 逻辑 关系 如 图 B-1 所 示 。 

B.1.1 各 子 系统 的 主要 功能 

第 三 级 系统 安全 保护 环境 各 子 系统 的 主要 功能 如 下 : 

a) 节点 子 系统 

节点 子 系统 通过 在 操作 系统 核心 层 、 系 统 层 设置 以 强制 访问 控制 为 主体 的 系统 安全 机 制 ,形成 
防护 层 , 通 过 对 用 户 行为 的 控制 ,可 以 有 效 防止 非 授 权 用 户 访 问 和 授权 用 户 越权 访问 ,确保 信息 和 
信息 系统 的 保密 性 和 完整 性 ,为 典型 应 用 支撑 子 系统 的 正常 运行 和 免 遭 恶意 破坏 提供 支撑 和 保障 。 

b) 典型 应 用 支撑 子 系统 

典型 应 用 支撑 子 系统 是 系统 安全 保护 环境 中 为 应 用 系统 提供 安全 支撑 服务 的 接口 。 通 过 接口 
平台 使 应 用 系统 的 主客 体 与 保护 环境 的 主客 体 相对 应 ,达到 访问 控制 策略 实现 的 一 致 性 。 

c) 区 域 边 界 子 系统 

区 域 边界 子 系统 通过 对 进入 和 流出 安全 保护 环境 的 信息 流 进行 安全 检查 ,确保 不 会 有 违反 系 
统 安全 策略 的 信息 流 经 过 边界 。 

d) 通信 网 络 子 系统 

通信 网 络 子 系统 通过 对 通信 数据 包 的 保密 性 和 完整 性 的 保护 ,确保 其 在 传输 过 程 中 不 会 被 非 
授权 窃听 和 签 改 ,以 保障 数据 在 传输 过 程 中 的 安全 。 

e) 系统 管理 子 系统 

系统 管理 子 系统 负责 对 安全 保护 环境 中 的 计算 节点 、 安 全 区 域 边界 、 安 全 通信 和 网络 实施 集中 管 
理 和 维护 ,包括 用 户 身份 管理 ,资源 管理 .异常 情况 处 理 等 。 


a DO ss 


工 10 第 三 级 信息 系统 安全 保护 环境 设计 示例 _ 


安全 安全 通信 网 络 
数据 伟 
输 机 密 
性 保护 
局 
域 
网 专 
交 用 路 
第 换 | 内 接 数据 传 | | 由 
证 机 | 部 口 | 输 完 束 | | 一、 
级 一 一 中 代 一 | 性 保护 | 六 中 
系 | 市 型 
统 | 点 
安 | 了 
余 | 系 
保 | 统 
护 a 
环 
啼 
区 通 
城 信 
边 网 
内 络 
了 了 
系 系 
统 统 
i111 
1 
人 和 宝宝 
a a 一 一 一- 一 一 一 一 一 一 起 
了 
安 审计 服务 ~ 
全 
理 应 急 处 理 
中 审计 管理 
审计 子 
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跨 定 级 系统 安全 管理 中 心 
第 三 级 系统 安全 保护 环境 结构 与 流程 
f) 安全 管理 子 系统 
安全 管理 子 系统 是 系统 的 安全 控制 中 枢 , 主 要 实施 标记 管理 ,授权 管理 及 策略 管理 等 。 安 全 管 


理子 系统 通过 制定 相应 的 系统 安全 策略 ,并 要 求 节点 子 系统 、 区 域 边界 子 系统 和 通信 和 网络 子 系统 强 
制 执行 ,从 而 实现 对 整个 信息 系统 的 集中 管理 。 
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g) 审计 子 系统 

审计 子 系统 是 系统 的 监督 中 枢 。 安 全 审计 员 通 过 制定 审计 策略 ,并 要 求 节点 子 系统 、 区 域 边 界 
子 系统 .通信 网 络 子 系统 、 安 全 管理 子 系统 、 系 统管 理子 系统 强制 执行 ,实现 对 整个 信息 系统 的 行为 
审计 ,确保 用 户 无 法 抵赖 违反 系统 安全 策略 的 行为 ,同时 为 应 急 处 理 提供 依据 。 

B.1.2 各 子 系统 主要 流程 

第 三 级 系统 安全 保护 环境 的 结构 与 流程 可 以 分 为 安全 管理 流程 与 访问 控制 流程 。 安 全 管理 流 
程 主要 由 安全 管理 员 、 系 统管 理 员 和 安全 审计 员 通 过 安全 管理 中 心 执行 ,分 别 实施 系统 维护 、 安 全 
策略 制定 和 部 署 , 审 计 记 录 分 析 和 结果 响应 等 。 访 问 控 制 流程 则 在 系统 运行 时 执行 ,实施 自主 访问 
控制 ,强制 访问 控制 等 。 

a) 策略 初始 化 流程 

节点 子 系统 在 运行 之 前 ,首先 由 安全 管理 员 、 系 统管 理 员 和 安全 审计 员 通过 安全 管理 中 心 为 其 
部 署 相应 的 安全 策略 。 其 中 ,系统 管理 员 首 先 需 要 为 定 级 系统 中 的 所 有 用 户 实施 身份 管理 , 即 确定 
所 有 用 户 的 身份 .工作 密 钥 .证书 等 。 同 时 需要 为 定 级 系统 实施 资源 管理 ,以 确定 业务 系统 正常 运 
行 需 要 使 用 的 执行 程序 等 。 安 全 管理 员 需 要 通过 安全 管理 中 心 为 定 级 系统 中 所 有 主 、 客 体 实施 标 
记 管理 , 即 根据 业务 系统 的 需要 ,结合 客体 资源 的 重要 程度 ,确定 其 安全 级 ,生成 全 局 客体 安全 标记 
列表 。 同 时 根据 用 户 在 业务 系统 中 的 权限 和 角色 确定 其 安全 标记 ,生成 全 局 主体 安全 标记 列表 。 
在 此 基础 上 ,安全 管理 员 需 要 根据 系统 需求 和 安全 状况 ,为 主体 实施 授权 管理 , 即 授予 用 户 访问 客 
体 资源 的 权限 ,生成 强制 访问 控制 列表 和 级 别 调整 策略 列表 。 除 此 之 外 ,安全 审计 员 需 要 通过 安全 
管理 中 心中 的 审计 子 系统 制定 系统 审计 策略 ,实施 系统 的 审核 管理 。 如 果 定 级 系统 需要 和 其 他 系 
统 进行 互联 , 则 上 述 初始 化 流程 需要 结合 跨 定 级 系统 安全 管理 中 心 制 定 的 策略 执行 。 

b) 计算 节点 启动 流程 

策略 初始 化 完成 后 ,授权 用 户 才 可 以 启动 并 使 用 计算 节点 访问 定 级 系统 中 的 客体 资源 。 为 了 
确保 计算 节点 的 系统 完整 性 ,节点 子 系统 在 启动 时 需要 对 所 装载 的 可 执行 代码 进行 可 信 验 证 ,确保 
其 在 可 执行 代码 预期 值 列表 中 ,并 且 程 序 完整 性 没有 遭 到 破坏 。 计 算 节 点 启动 后 ,用 户 便 可 以 安全 
地 登录 系统 。 在 此 过 程 中 ,系统 首先 装载 代表 用 户 身份 唯一 标识 的 硬件 令 牌 ,然后 获取 其 中 的 用 户 
信息 ,进而 验证 登录 用 户 是 否 是 该 节点 上 的 授权 用 户 。 如 果 检 查 通过 ,系统 将 请 求 策略 服务 器 下 载 
与 该 用 户 相关 的 系统 安全 策略 。 下 载 成 功 后 ,系统 可 信 计 算 基 将 确定 执行 主体 的 数据 结构 ,并 初始 
化 用 户 工作 空间 。 此 后 ,该 用 户 便 可 以 通过 启动 应 用 访问 定 级 系统 中 的 客体 资源 。 

c) 计算 节点 访问 控制 流程 

用 户 启动 应 用 形成 执行 主体 后 ,执行 主体 将 代表 用 户 发 出 访问 本 地 或 网 络 资源 的 请 求 , 该 请 求 
将 被 操作 系统 访问 控制 模块 截获 。 访 问 控制 模块 首先 依据 自主 访问 控制 策略 对 其 执行 策略 进行 符 
合 性 检查 。 如 果 自 主 访问 控制 策略 的 符合 性 检查 通过 , 则 该 请 求 允 许 被 执行 ;否则 ,访问 控制 模块 依 
据 强制 访问 控制 策略 对 该 请 求 执行 策略 进行 符合 性 检查 。 如 果 强 制 访问 策略 的 符合 性 检查 通过 , 那 
么 该 请 求 允许 被 执行 ;否则 ,系统 对 其 进行 级 别 调整 检查 。 即 依照 级 别 调整 检查 策略 ,判断 发 出 该 请 
求 的 主体 是 否 有 权 访 问 该 客体 。 如 果 通 过 ,该 请 求 同 样 允 许 被 执行 ;否则 ,该 请 求 被 拒绝 执行 。 

系统 访问 控制 机 制 在 安全 决策 过 程 中 ,需要 根据 安全 审计 员 制 定 的 审计 策略 ,对 用 户 的 请 求 及 
决策 结果 进行 审计 ,并 且 将 生成 的 审计 记录 发 送 到 审计 服务 器 存储 , 供 安全 审计 员 检 查 和 处 理 。 

d) 跨 计 算 节点 访问 控制 流程 
如 果 主 体 和 其 所 请 求 访问 的 客体 资源 不 在 同一 个 计算 节点 , 则 该 请 求 会 被 可 信 接 人 模块 截获 ， 

来 判断 该 请 求 是 否 会 破坏 系统 安全 。 在 进行 接 人 检查 前 ,模块 首先 通知 系统 安全 代理 获取 对 方 
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计算 节点 的 身份 ,并 检验 其 安全 性 。 如 果 检 验 结 果 是 不 安全 的 , 则 系统 拒绝 该 请 求 ;否则 ,系统 将 依 
据 强 制 访问 控制 策略 ,判断 该 主体 是 否 人 允许 访问 相应 端口 。 如 果 检 查 通过 ,该 请 求 被 放行 ;否则 ,该 
请 求 被 拒绝 。 

e) 路 边界 访问 控制 流程 

如 果 主 体 和 其 所 请 求 访问 的 客体 资源 不 在 同一 个 安全 保护 环境 内 ,那么 该 请 求 将 会 被 区 域 边 
界 控制 设备 截获 并 且 进 行 安全 性 检查 ,检查 过 程 类 似 于 跨 计算 节点 访问 控制 流程 。 


【条 款 解读 53】 
一 、 目 的 和 意图 
描述 第 三 级 信息 系统 安全 保护 环境 各 子 系统 的 功能 与 流程 。 
二 、 解释 和 示例 


GB/T 24856 一 2009 的 附录 B. 1( 功 能 与 流程 ), 从 各 子 系统 的 主要 功能 、 各 子 系 统 的 
主要 流程 等 方面 ,对 第 三 级 信息 系统 安全 保护 环境 各 子 系统 的 功能 与 流程 进行 说 明 。 对 
第 三 级 信息 系统 安全 保护 环境 各 子 系统 主要 功能 的 描述 包括 : 节点 子 系统 的 功能 描述 ， 
典型 应 用 子 系统 的 功能 描述 ,区 域 边界 子 系统 的 功能 描述 ,通信 网 络 子 系统 的 功能 描述 ， 
系统 管理 子 系 统 的 功能 描述 ,安全 管理 子 系统 的 功能 描述 ,以 及 审计 子 系统 的 功能 描述 。 
对 第 三 级 信息 系统 安全 保护 环境 各 主要 处 理 流程 的 描述 包括 : 策略 初始 化 流程 的 描述 ， 
计算 节点 启动 流程 的 描述 ,计算 节点 访问 控制 流程 的 描述 , 跨 节点 控制 流程 的 描述 ,以 及 


跨 边 界 访问 控制 流程 的 描述 。 其 中 所 谓 节点 子 系统 即 为 计算 节点 所 构成 的 子 系统 。 
1.10.2 子 系统 间 的 接口 
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B.2 子 系统 间 的 接口 
B.2.1 综述 
为 了 清楚 描述 各 子 系统 之 间 的 关系 ,图 B-2 给 出 了 子 系统 间 的 接口 关系 。 


典型 应 用 支撑 子 系统 


节点 子 系统 一 一 -一 | 区 域 边界 子 | 通信 网 络 子 
系统 系统 


安全 管理 子 系统 3 -~| 审计 子 系统 |- 3 | 系统 管理 子 系统 


图 B2 第 三 级 系统 安全 保护 环境 子 系统 接口 
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典型 应 用 支撑 子 系统 与 节点 子 系统 之 间 通 过 系统 调用 接口 。 其 他 子 系统 之 间 则 通过 可 靠 的 网 
络 传输 协议 ,按照 规定 的 接口 协议 传输 策略 数据 审计 数据 以 及 其 他 安全 保护 环境 数据 等 。 由 于 不 
同 子 系统 之 间 需 要 交换 各 种 类 型 的 数据 包 , 因 此 需要 明确 定义 子 系统 间 的 接口 协议 并 规范 传输 数 
据 包 格式 ,使 得 各 子 系统 之 问 能 透明 交互 ,实现 相应 数据 的 交换 。 数 据 包 的 标准 格式 见 表 B-1。 


表 B-1 子 系统 间 数 据 包 格式 


标志 版 本 号 接口 类 型 标记 位 
内 容 长 度 附加 项 长 度 保留 
数据 内 容 
附加 项 类 型 附加 项 内 容 


数据 包 由 包头 、 附 加 项 和 数据 内 容 三 部 分 组 成 ,其 中 包头 为 32 字 节 ,定义 了 标志 版 本 号 、 接 口 
类 型 标记 位 以 及 内 容 和 附加 项 长 度 等 。 内 容 和 附加 项 长 度 不 定 。 

数据 包 各 数据 项 说 明 如 下 : 

标志 (4 字 节 ), 用 于 标识 等 级 保护 相关 的 数据 流 ,此 标志 可 以 作为 区 别 等 级 保护 数据 包 的 
依据 。 

版 本 号 (4 字 节 ): 表示 该 接口 协议 的 版 本 号 。 其 中 前 两 个 字 节 表示 主 版 本 号 。 

接口 类 型 (4 字 节 )， 表示 本 数据 包 的 对 应 接口 类 型 编号 。 

标记 位 (4 字 节 ); 表述 数据 包 属性 标志 , 见 表 B-2。 


表 B-2 数据 包 属性 标志 


保留 (29 比特 位 ) | go | SIG CHK 


BRO: 表示 数据 包 发 送 对 象 地 址 尚未 确定 ,需要 以 广播 方式 发 送 或 发 送 给 查询 服务 器 。 

SIG; 表示 数据 包 是 否 有 签名 保护 ,0 为 无 签名 ,1 为 有 签名 。 如 果 有 签名 保护 ,签名 信息 在 附加 
项 中 显示 。 

CHK: 表示 数据 包 是 否 需 要 校 验 ,0 为 不 校 验 ,1 为 校 验 。 如 果 需 要 校 验 , 校 验 码 在 附加 项 中 
存放 。 

内 容 长 度 (4 字 节 ): 表示 数据 包 内 容 的 部 分 长 度 , 以 字 节 为 单位 。 

附加 项 长 度 (4 字 节 ); 表示 所 有 附加 项 长 度 之 和 ,以 字 节 为 单位 。 

保留 (8 字 节 ): 作为 数据 包 扩 展 保留 。 

数据 内 容 : 数据 包 传输 的 具体 内 容 , 其 格式 与 数据 包 类 型 相关 ,长 度 不 定 。 

附加 项 类 型 (4 字 节 ): 表示 附加 项 的 类 型 。 

附加 项 内 容 : 数据 包 传 输 的 附加 内 容 ,其 格式 与 附加 项 类 型 相关 ,长 度 不 定 。 

下 面 按照 接口 对 应 的 数据 包 类 型 介绍 数据 内 容 部 分 ,表格 中 不 含 包头 和 附加 项 。 

B.2.2 接口 1 

功能 : 节点 (区 域 边界 、 通 信和 网络 ) 子 系统 向 安全 管理 子 系统 请 求 下 载 策 略 。 
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类 型 : 请 求 数据 包 。 

描述 : 计算 节点 、 区 域 边界 、 通 信 网 络 设备 启动 时 ,向 安全 管理 子 系统 请 求 下 载 策 略 , 该 接口 为 
节点 子 系统 、 区 域 边界 子 系统 、 通 信和 网 络 子 系统 到 安全 管理 子 系统 之 间 的 接口 。 

客户 端 向 服务 器 发 起 TCP 连接 ,发 出 的 请 求 数据 包 数 据 内 容 格式 见 表 B-3。 


表 B-3 客户 端 向 服务 器 发 出 的 请 求 数据 包 数 据 内 容 格式 
节点 标志 (1 一 16 字 节 ) 


节点 标志 (17 一 20 字 节 ) 用 户 身份 (1 一 12 字 节 》 
用 户 身份 (13 一 28 字 节 ) 
用 户 身份 (29 一 40 字 节 ) 附加 信息 长 度 
附加 信息 
B.2.3 接口 2 


功能 : 安全 管理 子 系统 向 节点 (区 域 边 界 . 通 信 网 络 ) 子 系统 返回 与 请 求 主体 相关 的 策略 。 

类 型 , 策略 下 发 数据 包 。 

描述 : 安全 管理 中 心 接 到 下 载 策 略 请 求 后 ,向 计算 节点 、 区 域 边界 、 通 信和 网 络 设备 发 送 安全 
策略 。 

安全 管理 子 系统 策略 下 发 数据 包 数 据 内 容 格式 见 表 B-4。 


表 B-4 安全 管理 子 系统 策略 下 发 数据 包 数 据 内 容 格式 
节点 标志 (1 一 16 字 节 ) 


节点 标志 (17~20 字 节 ) 用 户 身份 (1 一 12 字 节 ) 


用 户 身 份 (13 一 28 字 节 ) 


户 身 份 (29~40 字 节 ) 策略 类 型 
策略 版 本 (8 字 节 ) 策略 项 数 (4 字 节 ) 保留 (4 字 节 》 
下 载 策略 项 1 
下 载 策略 项 2 


B.2.4 接口 3 

功能 : 节点 (区 域 边界 .通信 网 络 ) 子 系统 向 审计 服务 器 发 送审 计 记 录 。 
类 型 审计 记录 数据 包 的 数据 内 容 格式 。 

描述 : 计算 节点 ,区域 边界 ,通信 网络 设备 向 审计 子 系 统 发 送审 计 记录 。 
所 发 送 的 审计 记录 数据 包 数 据 内 容 格式 见 表 B-5。 
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表 B-5 节点 子 系统 发 送 的 审计 记录 数据 包 的 数据 内 容 格式 
节点 标志 (1 一 16 字 节 ) 


节点 标志 (17~20 字 节 ) 审计 项 数 (4 字 节 ) 保留 
第 1 个 审计 项 
B.2.5 接口 4 


功能 : 节点 子 系 统 之 间 的 接 入 可 信 性 验证 。 

类 型 ,可 信 接 入 申请 包 、 可 信 接 入 应 管 包 、 可 信 接 入 确认 包 。 

描述 : 节点 子 系统 之 间 的 接口 主要 实现 可 信 接 入 。 可 信 接 入 是 在 执行 跨 节 点 间 访 问 时 ,客体 所 
在 节点 验证 主体 所 在 节点 可 信 性 的 过 程 。 可 信 接 人 需要 三 步 协议 执行 。 首 先是 访问 发 起 方 所 在 节 
点 向 访问 应 答 方 所 在 节点 提出 可 信 接 人 申请 包 , 应 答 方 所 在 节点 验证 申请 包 后 向 发 起 方 所 在 节点 
发 送 可 信 接 人 应 答 包 ,由 发 起 方 所 在 节点 验证 应 答 包 成 功 后 ,返回 可 信 接 人 确认 包 。 

可 信 接 人 申请 包 格式 见 表 B-6。 


表 B-6 可 信 接 入 申请 包 数 据 内 容 格 式 
发 起 方 平 台 身 份 (1 一 16 字 节 ) 
发 起 方 平台 身份 (17 一 32 字 节 》 
附加 项 长 度 (4 字 节 )》 附加 项 


可 信 接 入 应 答 包 格式 见 表 B-7。 
表 B-7 可 信和 接 入 应 答 包 数据 内 容 格式 
应 答 方 平台 身份 (1~16 字 节 ) 
应 答 方 平台 身份 (17~32 字 节 ) 
附加 项 长 度 (4 字 节 》 附加 项 


可 信 接 入 确认 包 数 据 内 容 格式 和 可 信 接 入 应 答 包 内 容 格 式 相 同 ,具体 区 别 在 于 附加 项 。 


【条 款 解读 54】 

一 、 目 的 和 意图 

描述 第 三 级 信息 系统 安全 环境 设计 各 子 系统 间 的 接口 。 

二 、 解释 和 示例 

GB/T 24856 一 2009 的 附录 B. 2, 首 先 以 图 B-2 的 形式 ,对 第 三 级 系统 安全 保护 环境 
子 系统 接口 进行 了 总 体 描述 ,然后 分 别 对 接口 1: 节点 (区 域 边界 、 通 信和 网络 ) 子 系统 
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一 一 > 安全 管理 子 系统 ,接口 2: 安全 管理 子 系统 一 一 节点 (区 域 边界 、 通 信和 网 络 ) 子 系 
统 ,接口 3: 节点 (区 域 边界 、 通 信和 网 络 ) 子 系统 一 一 二 审计 子 系统 , 以 及 接口 4: 节点 子 系 
统一 一 之 节点 子 系 统 等 各 接口 的 具体 实现 进行 了 比较 详细 的 说 明 。 


1.10.3 ”重要 数据 结构 
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B.3 重要 数据 结构 
B.3.1 重要 数据 结构 列表 
第 三 级 系统 安全 保护 环境 设计 的 重要 数据 结构 见 表 B-8。 


表 B-8 ”重要 数据 结构 

编号 数据 结构 名 称 用 途 

用 户 身份 信息 列表 | 用 户 身份 、. 密 铜 等 信息 列表 

2 以 此 表 为 依据 ,可 以 利用 用 户 身份 查询 其 标记 信息 
客体 安全 标记 列表 | 以 此 表 为 依据 ,可 以 利用 客体 名 查询 其 标记 信息 
确定 了 主体 能 自主 访问 的 客体 

确定 了 主体 能 特权 操作 的 客体 


审计 策略 列表 确定 了 系统 的 审计 策略 , 即 需要 对 哪些 安全 事件 进行 审计 
7 审计 记录 格式 审计 日 志 


B.3.2 用 户 身份 信息 列表 


typedef struct tagUser Info 
{ 
BYTE * RootCert; 
UINT32 RootCertLen; 
BYTE * UserCert; 
UINT32 UserCertLen; 
BYTE * UserSigKey; 
UINT32 UserSigKeyLen; 
BYTE EncAlgID; 
BYTE < WorkKey; 
UINT32 WorkKeyLen; 
BYTE * UserEncKey; 
UINT32 UserEncKeyLen; 
BYTE Reserved{[256]; 


} User Info; 


用 户 身份 信息 列表 字段 解释 见 表 B-9。 
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表 B-9 重要 数据 结构 


字段 名 解 释 字段 名 解 释 
RootCert 系统 根 证 书 EncAlgID 对 称 加 密 算 法 标识 
RootCertLen 系统 根 证 书 长 度 WorkKey 全 系统 统一 的 对 称 加密 密 钥 
UserCert | 用 户 证书 | workKeyLen | 全 系统 统一 的 对 称 加 密 密 铀 长 度 
UserCertLen 用 户 证 书 长 度 UserEncKey ”| 用 户 私有 对 称 加 密 密 钥 
UserSigKey 用 户 签名 私 钥 UserEncKeyLen| 用 户 私有 对 称 加 密 密 钥 长 度 
UserSigKeyLen 用 户 签名 私 钥 长 度 Reserved 保留 字段 


B.3.3 主体 安全 标记 列表 


typedef struct SubjectLabel 
{ 
UINT32 SubNameLength; 
BYTE * sSubName; 
UINT32 GroupNameLength; 
BYTE * sGroupName; 
BYTE ConfLevel; 
BYTE InteLevel; 
BYTE SecClass[8]; 
BYTE SubType; 
}Sub Label; 


主体 安全 标记 列表 字段 解释 见 表 B-10。 
表 B-10 主体 安全 标记 列表 字段 
字段 名 解释 
SubNameLength 主体 名 长 度 
sSubName 主体 名 
GroupNameLength 主体 所 属 组 名 称 长 度 
sGroupName 主体 所 属 组 名 称 
ConfLevel 用 于 标识 主体 的 保密 性 级 别 
InteLevel 用 于 标识 主体 的 完整 性 级 别 
二 表示 主体 所 属 的 范畴 , 共 64 位 ,8 位 标识 一 个 范畴 ,总 共 可 以 
标识 8 个 范畴 ,从 高 位 到 低位 范畴 级 别 依次 降低 。 
SubType 表示 主体 类 型 , 即 主体 是 否 是 安全 管理 员 、 系 统管 理 员 、 安 全 


审计 员 、 普 通 操作 员 、 进 程 或 设备 。 
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B.3.4 客体 安全 标记 列表 


typedef struct ObjectLabel 
{ 

UINT32 ObjNameLength; 

BYTE * sObjName; 

BYTE ConfLevel; 

BYTE InteLevel; 

BYTE SecClass[8]; 

BYTE OQbjType; 
10bj_Label; 


客体 安全 标记 列表 字段 解释 见 表 B-11。 
表 B-11 客体 安全 标记 列表 字段 


字段 名 解 释 
”ObNameLength | 客体 g 攻 度 
sObjName 客体 名 称 
”ConfLevel | 用 于 标识 客体 的 保密 性 级 则 
InteLevel 用 于 标识 客体 的 完整 性 级 别 


表示 客体 所 属 的 范畴 , 共 64 位 ,8 位 标识 一 个 范畴 ,总 共 可 以 标识 8 
个 范畴 ,从 高 位 到 低位 范畴 级 别 依 次 降低 。 

表示 客体 类 型 , 即 客体 是 否 是 系统 文件 、 审 计 文 件 \ 策 略 文件 、 业 务 
文件 、 系 统 服 务 或 设备 文件 ,以 及 客体 是 否 需要 加 密 保护 。 


SecClass 


ObjType 


B.3.5 自主 访问 控制 列表 


typedef struct DAC List 
{ 
UINT32 SubNameLength; 
BYTE * sSubName; 
UINT32 ObjNameLength; 
BYTE * sObjName; 
BYTE OperateType; 
}DAC Label; 


自主 访问 控制 列表 字段 解释 见 表 B-12。 
表 B-12 自主 访问 控制 列表 字段 


字段 名 解 释 
SubNameLength | 主体 名 长 度 
sSubName | ”主体 名 或 主体 组 名 
ObjNameLength | 客体 名 长 度 
sObjName | 客体 名 


OperateType 操作 类 型 ,包括 创建 ,打开 、 读 \ 写 ,修改 ,执行 、 更 名 和 删除 等 
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B.3.6 级 别 调整 策略 列表 


typedef struct tagPriviledge List 


{ 


UINT32 SubNameLength; 


BYTE * sSubName; 


UINT32 ObjNameLength; 


BYTE * sObjName; 
BYTE OperateType; 


UINT32 AuthOwnerNameLength; 
BYTE * sAuthOwnerName; 


}PRIV_ Label; 


级 别 调整 策略 列表 字段 解释 见 表 B-13。 
表 B-13 级 别 调整 策略 列表 字段 

字 段 名 解 释 
SubNameLength 主体 名 长 度 
sSubName 主体 名 或 主体 所 属 组 名 
ObjNameLength 客体 名 长 度 
sObjName 客体 名 
OperateType 操作 类 型 ,包括 创建 打开, 读 、 写 ,修改 、 执 行 .更 名 和 删除 等 。 
AuthOwnerNameLength 授权 者 用 户 名 长 度 
sAuthOwnerName 授权 者 用 户 名 


B.3.7 审计 策略 列表 


typedef struct auditpolicytime 


{ 
BYTE Year[4]; 
BYTE Month[2]; 
BYTE Day[2]; 
BYTE Hour[2]; 
BYTE Min[2]; 
BYTE Sec[2]; 
BYTE Week[2]; 

}APTIME; 


typedef struct tagAUDIT POLICY TERM 


1 
UINT16 NodeID; 
UINT16 iType; 
UINT16 Bret; 
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SHORT IsoOn; 
APTIME BeginTime; 
APTIME EndTime; 
UINT32 Reserved; 
} AUDIT POLICY TERM, <* PAUDIT POLICY TERM; 


审计 策略 列表 字段 解释 见 表 B-14。 
表 B-14 审计 策略 列表 字段 
字段 名 解 释 
NodeID 节点 的 ID 号 
iType 审计 事件 类 型 .类 别 
Bret 共 两 个 字 节 ,第 一 个 字 节 表示 动作 行为 ,第 二 个 字 节 表示 动作 结果 及 其 原因 
IsOn 审计 开关 0: off; 1: on 


BeginTime 审计 开始 时 间 
EndTime 审计 结束 时 间 
Reserved 保留 字段 


B.3.8 审计 记录 


typedef struct audit label 
{ 

BYTE Name[21]; 

BYTE ConfLevel; 

BYTE InteLevel; 

BYTE SecClass[8]; 

BYTE Type; 
}ALABEL, * PALABEL; 
typedef struct tagAudit Record 
{ 

UINT16 NodeID; 

UINT16 iType; 

UINT32 Time; 

ALABEL SubLabel; 

ALABEL ObjLabel; 

UINT16 Bret; 

Byte Reserved[6]; 
lAudit Record; 


审计 记录 字段 解释 见 表 B-15。 
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表 B15 审计 记录 字段 

字段 名 解 释 
NodeID 事件 节点 编号 
iType 事件 类 型 ,包括 身份 鉴别 、 客 体 访问 或 用 户 行为 等 
Time 事件 发 生 时间 
SubLabel 事件 发 起 主体 安全 标记 
ObjLabel 事件 对 应 客体 安全 标记 
Bret 事件 的 操作 行为 、 结 果 及 其 原因 
Reserved 保留 字段 

【条 款 解读 55】 

一 、 目 的 和 意图 

描述 第 三 级 信息 系统 安全 环境 设计 的 重要 数据 结构 。 

二 、 解释 和 示例 


GB/T 24856 一 2009 的 附录 B. 3( 重 要 数据 结构 ), 分 别 对 用 户 身 份 信息 列表 、 主 体 安 
全 标记 列表 、 客 体 安全 标记 列表 、 自 主 访问 控制 列表 、 审 计策 略 列表 、 审 计数 据 格式 等 重要 
数据 进行 了 描述 。 


GD sa 
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_ 安 全 功能 和 总 体 结构 


二 级 信息 系统 的 总 体 结构 如 图 2-1 所 示 。 


-级 安全 应 用 平台 


1 1 1 1 
安全 计算 环境 安全 区 域 边 界 安全 通信 网 络 安全 管理 中 心 
| 
典型 节 上 系统 7 审计 
应 子 系 安 忆 了 系 
TS 统 统 
地 可 要 枯 时 站 加 晓 11 
用 | 自 | 系 | 数 | 数 | 客 | 系 | 系 | 系 系 | 网 
户 | 主 | 统 | 据 | 据 | 体 | 统 | 统 | 统 统 | 络 
身 | 访 | 安 | 完 | 保 | 安 | 恶 | 可 | 备 安 | 安 
份 | 问 | 全 | 整 | 密 | 全 | 意 | 执 | 份 全 | 会 
鉴 | 控 | 审 | 性 | 性 | 重 | 代 | 行 | 与 审 | 审 
别 | 制 | 计 | 保 | 保 | 用 | 码 | 程 | 恢 计 | 计 
护 | 护 | | 查 | 序 | 复 
杀 | 保 
护 
图 2-1 总 体 结构 
1. 信息 系统 实现 功能 


落实 GB 17859 一 1999 的 4. 2 关于 “通过 登录 规则 、 审 计 安 全 性 相关 事件 和 隔离 资 
源 , 使 用 户 对 自己 的 行为 负责 ”的 要 求 ,实现 第 二 级 系统 安全 保护 环境 ,以 提供 系统 审计 安 
全 保护 的 基础 。 增 加 对 安全 相关 事件 的 审计 机 制 ,将 自主 访问 控制 的 粒度 增加 到 单个 用 
户 , 使 用 户 行为 具有 可 查 性 ,并 以 用 户 身 份 鉴别 存储、 传输 和 处 理 过 程 中 用 户 数 据 的 完整 
性 、 保 密 性 、 可 用 性 保护 以 及 对 客体 安全 重用 的 支持 等 ,共同 实现 数据 保护 的 安全 。 同 时 ， 
通过 较 高 要 求 的 安全 运行 控制 ,确保 安全 应 用 平台 为 应 用 软件 系统 的 安全 运行 提供 较 好 
的 支持 ,实现 提供 可 靠 服务 的 安全 性 。 
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2. 一 个 中 心 管理 下 的 三 重 防御 体系 

为 已 定 级 信息 系统 构建 安全 保护 环境 ,是 以 较 低 成 本 实现 其 安全 保护 能 力 的 合理 方 
式 , 具 有 技术 上 成 熟 . 产 品 选择 面 宽 、 无 需 对 业务 系统 进行 修改 的 优点 。 

安全 保护 环境 的 核心 在 于 构建 “一 个 中 心 ”管理 下 的 “三 重 防御 体系 ”。“ 一 个 中 心 ”是 
指 安全 管理 中 心 , 包 括 系 统管 理 \ 安 全 管理 和 审计 管理 。“ 三 重 防御 体系 ”包括 提供 安全 计 
算 环境 、 提 供 安 全 区 域 边界 和 提供 安全 通信 和 网络 。 安 全 计算 环境 可 细 分 为 : 节点 子 系统 
和 典型 应 用 子 系统 ;安全 管理 中 心 分 为 系统 管理 子 系统 、 安 全 管理 子 系统 和 审计 子 系统 。 
二 级 系统 安全 保护 环境 的 体系 结构 如 图 2-2 所 示 。 


计算 环境 区 域 边界 通信 网 络 
计算 节点 
计算 节点 2-LIN 
计算 节点 1-WIN 内 | | 控 
典型 | 应 部 | | 制 
用 | 应 用 系统 代 | | 部 
| 统 人 
1 系 请 求 访问 | 「 拆 行 返 加 堪 器 密 
贰 本 地 / 回 络 | LE 四 | | | 网 «< ||| | 
县 资源 交 { 由 
全 边 
年 -- 办 | | 外 | 口 | FRI | | 沼 
过 | 7 gp | 一 一 数据 | 
系 | | 控 | | 部 | | 传 给 | 后 
统 | | 制 | | 代 
3 Hp | 策 理 CE 
站 住 保 
全 | 年 | 核 用 护 
保 < 1 心 4 
系 
护 | 统 | 层 区 | | 跨 通 
名 | 1 | 域 | | 域 信 
境 1 1 网 
| 1 边 互 了 
| 1 | 界 | | 联 络 
上 1 有 子 
| 1 未 策 系 
| ! | 条 | 媒 统 
1 
| 
策略 服务 系统 管理 服务 __ J 
i | 服务 
全 ， | 
痊 | | [aa 本 中 用 户 身 ]| 资源 | [应 急 | | | 一 -1 有 
间 授权 管理 | | 策略 管理 介 生 党 || 基 再 | | 证 各 到 
中 安全 管理 系统 管理 证 让 
相 系统 /安全 管理 于 系统 于 


跨 域 安全 管理 中 心 


图 2-2 二 级 系统 安全 保护 环境 体系 结构 


2.2 实现 方案 和 设备 类 型 


实现 方案 和 设备 类 型 


2.2.1 安全 计算 环境 建设 


进行 第 二 级 安全 计算 环境 建设 的 重点 在 于 进行 系统 加 固 , 实 现 用 户 身份 鉴别 .自主 访 
问 控 制 、 实 现 系统 安全 审计 、 实 现 客体 重用 并 且 提供 恶意 代码 防范 的 功能 。 

参照 上 述 第 二 级 系统 安全 保护 环境 的 安全 计算 环境 的 安全 技术 要 素 ,实现 安全 计算 
环境 的 安全 功能 , 需 安装 如 下 几 个 软件 系统 。 


1. 部 署 二 级 操作 系统 
进行 操作 系统 加 固 不 仅 需 要 对 服务 器 的 操作 系统 进行 加 固 , 并 且 需 要 对 用 户 操 作 终 
端 计算 机 进行 系统 加 固 。 


2. 部 署 系统 安全 审计 系统 

安全 计算 环境 的 系统 安全 审计 主要 是 对 服务 器 、 安 全 终端 的 系统 安全 事件 进行 审计 。 
在 本 方案 中 通过 在 各 服务 器 以 及 安全 终端 部 署 系统 安全 审计 探头 ,对 重要 的 安全 相关 事 
件 ,包括 重要 用 户 行为 .系统 资源 的 异常 使 用 和 重要 系统 命令 的 使 用 等 记录 的 日 期 和 时 
间 、 用 户 、 事 件 类 型 .事件 是 否 成 功 等 进行 记录 ,并 可 以 将 这 些 记录 转换 为 标准 格式 , 道 过 
审计 代理 将 审计 记录 提交 给 审计 管理 中 心 。 


3. 部 署 客体 重用 系统 

进行 剩余 信息 保护 ,主要 在 于 对 使 用 的 客体 资源 进行 监控 和 管理 。 在 本 方案 中 通过 
部 署 客体 重用 系统 ,在 该 客体 资源 重新 分 配 前 对 其 原 使 用 者 的 信息 进行 清除 ,以 确保 系统 
的 重要 信息 不 被 泄露 。 


4. 部 署 防 病毒 软件 

综合 考虑 安全 计算 环境 对 恶意 病毒 查 杀 的 安全 功能 要 求 。 在 本 方案 中 选用 瑞星 杀毒 
软件 网 络 版 。 通 过 此 病毒 防护 系统 提供 的 系统 管理 中 心 .管理 员 控 制 台 、 杀 毒 软件 服务 器 
端 .客户 端 ,为 安全 计算 环境 建立 全 方位 的 病毒 防护 体系 。 并 且 可 以 实现 远程 管理 、 智 能 
升级 .自动 分 发 .远程 报警 等 多 种 功能 。 


2.2.2 ”安全 通信 网络 建设 


在 第 二 级 系统 安全 保护 环境 中 的 安全 网 络 建设 主要 用 于 实现 网 络 安全 审计 ,并 依据 
客户 实际 应 用 的 要 求 为 用 户 的 网 络 数据 传输 提供 完整 性 和 保密 性 保护 。 

参照 上 述 第 二 级 系统 安全 保护 环境 的 安全 通信 网 络 的 安全 技术 要 素 ,实现 安全 通信 
网 络 的 安全 功能 , 需 安装 如 下 几 个 软件 系统 。 


1. 部 署 网 络 安全 审计 系统 
在 本 方案 中 通过 部 署 网 络 行为 审计 系统 ,对 用 户 行为 进行 探测 \ 收 集 、 还 原 , 并 且 可 以 
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对 其 他 网 络 设备 日 志 、 其 他 审计 产品 日 志 进 行 获取 ,实现 对 安全 通信 和 网络 中 所 有 的 网 络 安 
全 事件 的 集中 存储 、 管 理 和 分 析 。 


2. 建立 IPSEC VPN 

网 络 数据 传输 完整 性 ,保密 性 保护 主要 体现 在 与 两 个 安全 计算 环境 之 间 的 网 络 数据 
传输 的 完整 性 和 保密 性 保护 。 在 本 方案 中 道 过 在 两 个 安全 计算 环境 间 建 立 IPSEC VPN， 
通过 IPSEC VPN 提供 的 数据 校 验 机 制 以 及 加 密 机 制 ,为 网 络 数据 传输 提供 完整 性 和 保 
密 性 保护 。 


2.2.3 安全 区 域 边界 建设 


在 第 二 级 系统 安全 保护 环境 中 的 安全 区 域 边界 建设 主要 在 于 实现 区 域 边 界 协议 过 
滤 、 区 域 边界 安全 审计 、 区 域 边界 恶意 代码 防范 、 区 域 边界 完整 性 保护 等 安全 功能 。 

参照 上 述 第 二 级 系统 安全 保护 环境 的 安全 区 域 边界 的 安全 技术 要 素 , 实 现 安全 区 域 
边界 的 安全 功能 , 需 安装 如 下 几 个 软件 系统 。 


1. 部 署 防火 墙 

在 本 方案 中 通过 部 署 安置 防火 墙 , 实 现 以 下 几 个 安全 要 素 。 

(1) 状态 检测 和 访问 控制 

采用 基于 状态 检测 的 包 过 滤 技术 ,快速 实现 基于 源 /目的 IP 地址 、 源 MAC 地 址 、 服 
务 /端口 .用 户 、 时 间 、 组 (网 络 、 服 务 、 用 户 、 时 间 ) 的 精细 粒度 的 访问 控制 。 

(2) 内 容 过 滤 

http 关键 字 、 命 令 过 滤 文件 名 过 滤 、URL 过 滤 、 邮 件 关 键 字 过 滤 、 邮 件 文件 名 过 
滤 、 发 件 人 邮箱 过 滤 、 收 件 人 邮箱 过 滤 、http 命令 过 滤 (get、put、post)、Java scripts/ 
Active-X 过滤 封 堵 、 Java 小 程序 控制 .Cookie 过 滤 、http、smtp、 pop3 ,ftp \telnet 等 协议 的 
内 容 过 滤 。 

(3) 透明 应 用 代理 

提供 丰富 全 面 的 应 用 代理 ,覆盖 大 多 数 用 户 常用 应 用 程序 ,包括 HTTP、SMTP、 
POP3、FTP、TELNET 代理 等 。 同 时 ,多 线程 的 代理 提供 较 高 性 能 的 连接 速度 。 提 供 多 
种 内 核 级 别 代理 机 制 , 例 如 FTP、TFTP 和 ICMP 代理 可 极 大 增强 特殊 网 络 应 用 安全 性 。 

(4) 网 络 地 址 转换 

@ 支持 多 种 方式 的 网 络 地 址 转换 ,包括 : 静态 地 址 映射 .静态 地 址 转换 (1 : 1) 动态 
地 址 转换 (N : 1,N : N) 、 反 向 NAT'; 

@ DMZ 区 的 特殊 地 址 转换 , 即 端口 转换 能 力 ,加强 DMZ 区 的 安全 保护 ; 

@ 负载 均衡 。 

(5) 日 志 、 审 计 和 告警 

防火 墙 提供 五 种 日 志 内 容 : 连接 日 志 、 攻 击 日 志 、 代 理 日 志 、 认 证 日 志和 配置 日 志 。 
并 且 可 以 对 任意 的 日 志 内 容 、 任 意 级 别 指定 不 同 的 日 志 报 警方 式 。 系 统 提供 的 告警 方式 
包括 : 声音 报警 、 邮 件 通 知 、Windows 消息 、 用 户 终 端 、 系 统 缓 冲 区 ,支持 日 志 的 本 地 存储 、 
远 端 存储 、 备 份 等 存储 方式 。 
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2. 部 署 可 信 接 入 网 关 

对 接 人 网 络 的 计算 机 终端 实施 强制 平台 身份 认证 ,检查 计算 机 终端 安全 状态 , 阻 断 非 
受 控 终 端 以 及 不 符合 安全 策略 的 终端 接 人 网 络 。 并 且 提供 终端 接 人 审计 \ 访 问 控制 .系统 
日 志 。 

3. 部 署 入 侵 检 测 系 统 

在 安全 区 域 边界 中 ,部 署 人 侵 检 测 系 统 ,检测 并 记录 attack-responses、 backdoor、 
chat、 ddos、 dns、 dos、 exploit, finger, ftp、\ icmp、 misc、 multimedia、 netbios、 oracle、 p2p、 
policy、 pop3、 rpe、 rservices, scan、 shellcode、 smtp、 snmp、 sql、 telnet、, tftp、 virus、 web- 


attacks、web-cgi、 web-client、 web-coldfusion、 web-frontpage、 web-iis、 web-misc, web-php 


等 攻击 行为 。 
2.2.4 安全 管理 中 心 建设 
安全 管理 中 心 的 安全 功能 基本 结构 如 图 2-3 所 示 。 


| 计算 环境 子 系统 | 区 域 边 界 子 系统 | 通信 网 络 子 系统 


ea 


a 审计 | | 审计 服 
安全 管理 | | 系统 与 网 络 管理 管理 


务 器 


系统 /安全 管理 子 系统 审计 子 系统 


系统 /安全 管理 中 心 


图 2-3 安全 管理 中 心 的 安全 功能 基本 结构 


建立 安全 管理 中 心 的 目标 在 于 实现 对 在 进行 安全 保护 环境 建设 过 程 中 所 部 属 的 各 系 
统 进 行 集中 管理 。 在 第 二 级 安全 管理 中 心 主要 需要 部 署 自主 访问 控制 管理 中 心 , 系 统 安 
全 审计 管理 中 心 ,病毒 防护 管理 中 心 和 网 络 资源 管理 中 心 。 


1. 部 署 自主 访问 控制 系统 管理 中 心 

管理 员 通过 控制 台 对 整个 系统 的 安全 策略 进行 配置 与 控制 。 从 该 控制 台 登 录 并 管理 
系统 的 有 下 面 三 类 管理 员 。 

(1) 系统 管理 

系统 管理 子 系 统 用 于 对 节点 子 系统 、 区 域 边界 子 系统 、 道 信和 网 络 子 系统 的 软 硬 件 进行 
管理 和 维护 ,发 行 用 户 硬 件 令 牌 ,对 系统 异常 行为 作 应 急 处 理 。 

(2) 安全 管理 

安全 管理 子 系统 策略 配置 包括 : 主 / 客 体 标记 案例 管理 .用 户 授权 管理 、 策 略 管理 等 。 

(3) 审计 管理 

审计 子 系统 用 于 存储 和 处 理 整 个 系统 中 的 所 有 审计 信息 。 节 点 子 系统 、 区 域 边界 子 


2.2 实现 方案 和 设备 类 型 
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系统 、 通 信和 网络 子 系统 和 安全 管理 子 系统 、 系 统管 理子 系统 等 获得 审计 信息 后 形成 文件 ， 
上 传 到 审计 服务 器 进行 存储 和 处 理 。 


2. 部 署 安全 审计 管理 中 心 
实现 对 计算 环境 内 各 节点 上 的 主机 安全 审计 信息 、 自 主 访问 控制 审计 信息 、 客 体重 用 
审计 信息 以 及 对 边界 安全 设备 的 审计 信息 的 统一 集中 管理 。 


2.2.5 ”系统 安全 互联 


1. 安全 互联 部 件 设计 技术 的 要 求 

安全 互联 部 件 是 通信 网 络 交换 网 关 , 与 各 定 级 系统 安全 保护 环境 的 安全 通信 网 络 部 
件 相 连接 , 按 互 联 互通 的 安全 策略 进行 信息 交换 。 安 全 策略 由 跨 定 级 系统 的 安全 管理 中 
心 实施 。 


2. 建立 跨 定 级 系统 安全 管理 中 心 

跨 定 级 系统 安全 管理 中 心 道 过 安全 通信 和 网络 部 件 与 各 定 级 系统 安全 保护 环境 中 的 安 
全 管理 中 心 相连 ,主要 实施 跨 定 级 系统 的 系统 管理 、 安 全 管理 和 审计 管理 。 

(1) 系统 管理 

应 通过 系统 管理 员 对 安全 互联 部 件 与 相同 和 不 同等 级 的 定 级 系统 中 与 安全 互联 相关 
的 系统 资源 和 运行 进行 配置 和 管理 ,包括 用 户 身 份 管理 ,安全 互联 部 件 资源 配置 和 管 
理 等 。 

(2) 安全 管理 

应 通过 安全 管理 员 对 相同 和 不 同等 级 的 定 级 系统 中 与 安全 互联 相关 的 主 /客体 进行 
标记 管理 ,使 得 其 标记 信息 能 够 准确 反映 主 /客体 在 定 级 系统 中 的 安全 属性 ;对 主体 进行 
授权 ,配置 统一 的 安全 策略 ,并 确保 授权 信息 在 相同 和 不 同等 级 的 定 级 系统 中 的 合理 性 。 

(3) 审计 管理 

应 通过 安全 审计 员 对 安全 互联 部 件 的 安全 审计 机 制 和 各 定 级 系统 跨 定 级 系统 互联 有 
关 的 安全 审计 机 制 进行 集中 管理 ,包括 根据 安全 审计 策略 对 审计 记录 进行 分 类 ;提供 按时 
间 段 开启 和 关闭 相应 类 型 的 安全 审计 机 制 ; 对 各 类 审计 记录 进行 存储 、 管 理 和 查询 等 ;对 
审计 记录 进行 分 析 , 并 根据 分 析 结 果 进 行 及 时 处 理 。 


安全 计算 环境 子 系统 的 设计 和 实现 


计算 环境 子 系统 是 在 操作 系统 自 带 的 功能 基础 上 进行 扩展 ,加 入 身份 认证 模块 ,访问 
控制 模块 ,安全 重用 模块 和 数据 完整 性 模块 ,如 图 2-4 所 示 。 

下 面 对 各 组 成 结构 总 模块 进行 几 点 说 明 。 

@ 身份 认证 模块 : 通过 标识 和 鉴别 确保 用 户 与 正确 的 安全 属性 相关 联 (如 身份 、 组 、 
角色 、 安 全 或 完整 性 等 级 ) 。 

@ 访问 控制 模块 : 确定 访问 控制 策略 及 其 控制 范围 ,执行 自主 访问 控制 机 制 。 
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1 虚拟 客体 
用 户 ey 映射 表 | 客体 安全 重用 模块 
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,访问 操作 性 验证 恢复 
i 授权 主体 
自主 访问 法 求 制 守 
加 有 由 和 四 
访问 控制 模块 
安全 /系统 管理 审计 管理 | 


安全 管理 中 心 


图 2-4 计算 环境 子 系统 基本 结构 


@ 数据 完整 性 模块 : 对 存储 数据 的 完整 性 进行 监视 ,在 检测 到 某 错误 时 ,采取 相应 
的 行动 。 

图 客体 安全 重用 模块 : 在 将 文件 和 内 存 分 配给 一 个 用 户 之 前 , 先 对 它们 进行 初 
始 化 。 


图 审计 : 识别 .记录 、 存 储 和 分 析 那 些 与 安全 相关 活动 有 关 的 信息 。 检 查 审计 记录 
结果 可 用 来 判断 发 生 了 哪些 安全 相关 活动 以 及 哪个 用 户 要 对 这 些 活动 负责 。 


2.3.1 身份 认证 模块 结构 
身份 认证 模块 的 结构 如 图 2-5 所 示 。 
1. 用 户 标识 


用 户 在 执行 任何 其 他 由 评估 对 象 的 安全 功能 促成 的 有 用 户 标识 的 行动 之 前 ,应 先 标 
识 他 们 自己 。 如 果 人 允许 用 户 在 被 标识 之 前 执行 某 些 行动 ,必须 提供 对 行动 的 管理 列表 。 
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身份 认证 模块 
芭 | 紧 别 天 败 
主体 标示 | 一 下 鉴别 处 鼻 
用 户 展 性 | [sw 用 户 -主体 | | .| 访问 控制 
定义 用 户 标识 绑 定 模块 
图 2-5 身份 认证 模块 的 结构 
2. 用 户 属性 定义 


所 有 授权 用 户 都 有 一 组 用 户 身 份 外 的 安全 属性 用 来 执行 安全 策略 。 本 模块 定义 用 于 
支持 安全 策略 所 需 的 将 用 户 安全 属性 与 用 户 相 关联 的 要 求 。 


3. 用 户 -主体 绑 定 

一 个 已 鉴别 了 的 用 户 ,为 了 使 用 系统 ,要 先 激 活 一 个 主体 。 用 户 的 安全 属性 (全 部 或 
部 分 地 ) 则 与 该 主体 相关 联 。 本 模块 定义 建立 和 维护 用 户 的 安全 属性 与 代表 用 户 活动 的 
主体 间 关联 的 要 求 。 


4. 鉴别 

鉴别 机 制 能 满足 如 下 特性 : 

@ 鉴别 机 制 能 够 检测 和 防止 使 用 伪造 或 复制 的 鉴别 数据 。 

@ 支持 使 用 一 次 性 鉴别 数据 的 鉴别 机 制 。 

@ 提供 和 使 用 不 同 的 鉴别 机 制 ,为 特定 的 事件 鉴别 用 户 的 身份 。 

@ 重 鉴 别 ,要 求 有 能 力 说 明 哪 些 事件 用 户 需 要 被 重新 鉴别 。 

@ 在 鉴别 期 间 , 只 提供 给 用 户 有 限 的 反馈 信息 。 

本 模块 可 采用 的 用 户 鉴别 安全 机 制 : 采用 强化 管理 的 口令 鉴别 或 基于 令 牌 的 动态 口 
令 鉴 别 或 具有 相应 安全 强度 的 其 他 鉴别 。 


5. 鉴别 失败 处 理 

为 不 成 功 的 鉴别 尝试 次 数 定义 值 ,以 及 鉴别 尝试 失败 时 的 行动 。 能 够 在 用 户 鉴别 尝 
试 失败 了 指定 的 次 数 后 ,终止 会 话 建立 进程 。 此 外 , 它 还 在 会 话 建立 进程 终止 后 ,直到 管 
理 员 定义 的 条 件 出 现 前 ,使 用 户 账号 无 效 ,或 者 使 进行 尝试 的 登录 点 无 效 (如 某 工作 站 ) 。 

2.3.2 访问 控制 模块 结构 

访问 控制 模块 结构 如 图 2-6 所 示 。 

1. 主体 

以 标识 和 鉴别 子 系统 中 为 主体 分 配 的 标识 及 安全 属性 为 基础 。 
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主体 (访问 访问 控制 
发 起 者 ) 执行 者 


访问 控制 | 
决策 者 


ACL 权限 列表 


访问 控制 模块 i 


安全 策略 


图 2-6 访问 控制 模块 结构 图 


安全 管理 中 心 


2. 客体 

信息 的 载体 。 

3. 访问 控制 执行 者 

执行 访问 控制 机 制 。 在 访问 控制 机 制 中 ,由 主体 代表 访问 或 试图 访问 客体 的 人 和 基 
于 计算 机 的 实体 提出 访问 目标 的 请 求 , 系 统 根据 决策 规则 由 执行 功能 对 访问 请 求 进行 分 
析 、 处 理 , 在 授权 的 范围 内 允许 发 起 者 对 目标 进行 有 限 地 访问 ,确保 只 有 对 目标 拥有 访问 
权限 的 主体 才能 执行 。 


4. 访问 控制 决策 者 

表示 一 组 访问 控制 规则 和 策略 。 决 策 功能 控制 着 主体 的 访问 许可 ,限制 其 在 何 种 条 
件 下 ,为 了 什么 目的 ,可 以 访问 哪些 客体 。 这 些 决 策 以 某 一 访问 控制 策略 的 形式 反映 出 
来 。 访 问 请 求 道 过 某 个 访问 控制 机 制 而 得 到 过 滤 。 决 策 依赖 下 列 信息 : 主体 访问 决策 信 
息 ( 绑 定 到 发 起 者 的 访问 控制 信息 );* 访 问 请 求 访问 决策 信息 ( 绑 定 到 访问 请 求 的 访问 控制 
信息 ) 。 


5. 访问 控制 表 

以 文件 为 中 心 建立 的 访问 权限 表 (Access Control Lists,ACLs)。 目 前 ,大 多 数 PC、 
服务 器 和 主机 都 使 用 ACLs 作为 访问 控制 的 实现 机 制 。 访 问 控制 表 的 优点 在 于 实现 简 
单 , 任 何 得 到 授权 的 主体 都 可 以 有 一 个 访问 表 。 


2.3.3 数据 完整 性 保护 模块 结构 
数据 完整 性 保护 模块 结构 如 图 2-7 所 示 。 


1. 运行 体 拦 截 
。 运行 体 拦截 模块 设置 在 系统 内 核 中 ,该 模块 拦截 任何 试图 执行 的 对 象 ,并 通知 文 
件 完整 性 验证 模块 对 该 对 象 进行 验证 。 
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关键 对 象 校 


1 | 


完整 性 规则 —| 安全 处 理 | 恢复 与 备份 


运行 体 拦截 | 一 ~ 对 象 完整 性 验证 


”| 审计 | 


图 2-7 数据 完整 性 保护 模块 结构 


运行 拦截 体 的 拦截 规则 可 在 一 定安 全 范围 内 由 系统 管理 员 通 过 完整 规则 管理 中 
心 进行 设置 ,以 符合 用 户 的 完整 性 需求 。 


2. 对 和 象 完整 性 验证 

对 象 完整 性 验证 模块 接收 运行 体 拦截 模块 传送 来 的 试图 执行 的 对 象 信息 。 然 后 
按照 预定 义 的 流程 ,根据 关键 对 象 校 验 库 中 的 预存 信息 以 及 该 对 象 自身 的 信息 ， 
判断 出 该 对 象 的 完整 性 状态 。 然 后 将 该 完整 性 状态 交付 给 安全 处 理 模 块 。 

对 象 完整 性 验证 模块 的 验证 规则 可 在 一 定安 全 范围 内 通过 完整 规则 管理 中 心 设 
置 ,以 符合 用 户 的 完整 性 需求 。 


关键 对 象 校 验 库 

。 关键 对 象 校 验 库 模 块 的 主要 功能 是 为 对 象 完整 性 模块 提供 验证 信息 。 存 储 了 安 
全 预定 义 和 用 户 自 定义 的 关键 对 象 的 完整 性 信息 。 包 括 关键 对 象 的 安全 级 别 、 路 
径 、 对 象 内 容 哈 希 值 .操作 、 完 整 性 状态 几 个 属性 。 

关键 对 象 校 验 库 模 块 中 的 对 象 一 部 分 是 由 数据 完整 性 保护 子 系统 预定 义 的 完整 
性 最 小 集 , 保 证 系统 核心 部 分 的 完整 性 。 

关键 对 象 校 验 库 提供 了 备份 与 恢复 的 接口 ,系统 管理 员 必 须 定期 对 对 象 库 进行 可 
信 备份 。 在 关键 对 象 校 验 库 被 破坏 时 ,对 其 进行 可 信 恢 复 。 


. 完整 性 规则 管理 中 心 
完整 性 规则 管理 中 心 是 由 系统 /安全 管理 子 系统 管理 ,用 于 维护 数据 完整 性 保护 
模块 在 安全 、 有 序 、 合 理 的 状态 下 进行 运行 。 对 关键 对 象 校 验 库 、 安 全 人 处理 模块 、 
运行 体 拦截 模块 在 授权 安全 范围 内 提供 设置 ,以 在 保证 系统 最 小 完整 性 需求 的 前 
提 下 满足 用 户 对 完整 性 的 需求 。 
完整 性 规则 管理 中 心 提供 操作 界面 接口 ,系统 管理 员 通 过 完整 性 规则 管理 中 心 对 
安全 处 理 模块 的 执行 规则 和 运行 体 拦截 模块 的 拦截 选项 进行 可 选择 性 配置 。 


5. 安全 处 理 
@ 安全 处 理 模 块 接收 对 象 完整 性 模块 传送 过 来 的 对 象 信息 ,根据 预定 义 的 规则 作出 


名 


小 
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相应 的 动作 ,如 阻止 对 象 运行 .运行 对 象 运行 .报警 等 。 

@ 安全 处 理 模 块 的 处 理 动作 由 数据 完整 性 保护 模块 预定 义 。 系 统管 理 员 也 可 在 其 
安全 授权 范围 内 对 处 理 动作 进行 个 性 化 定义 。 

6. 审计 

@ 安全 审计 对 数据 完整 性 保护 模块 中 的 关键 行为 进行 详细 的 审计 记录 。 

@ 安全 审计 对 于 每 一 种 权限 的 使 用 人 员 的 操作 都 有 详细 的 审计 记录 。 

图 安全 审计 将 对 象 完整 性 验证 模块 中 提供 的 安全 报告 进行 详细 的 审计 记录 。 

@ 安全 审计 提供 与 审计 子 系统 的 接口 , 按 审计 子 系统 的 需求 提供 审计 数据 。 


2.3.4 客体 安全 重用 模块 结构 


客体 重用 模块 结构 如 图 2-8 所 示 。 
主体 | 一 访问 控制 | 审计 探头 
f 1 
+ 
客体 管理 
| 客体 释放 
管理 
客体 分 配 | 
管理 虚拟 内 存 
es 
| 文件 | 
客体 信息 [By 虚拟 客体 ell 二 
物理 内 存 
= .一 一 J| 二 级 "| 
客体 安全 重用 对 
~ | 


图 2-8 客体 重用 模块 结构 


1. 客体 管理 
主体 申请 使 用 新 的 客体 或 释放 旧 的 客体 时 ,客体 管理 拦截 到 该 申请 。 客 体 管理 提供 


给 主体 分 配 和 释放 客体 的 接口 ,解析 主体 的 动作 ,并 决定 对 客体 的 操作 。 

2. 客体 分 配 管 理 

根据 需求 ,将 所 请 求 的 客体 分 配给 主体 。 在 客体 分 配 前 必须 调用 客体 信息 清除 模块 
对 客体 中 残存 的 信息 进行 彻底 清除 。 
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3. 客体 释放 管理 
当 客 体 需 要 被 重用 时 ,或 客体 不 再 被 主体 需要 时 ,客体 释放 管理 将 此 客体 放 人 可 用 的 
客体 池 中 。 


4. 客体 信息 清除 

对 释放 的 客体 进行 信息 清除 。 最 简单 的 方法 是 在 客体 的 存储 空间 内 填充 全 0、 全 1 。 
对 于 更 高 安全 级 别 , 可 以 采取 多 种 填充 方式 反复 进行 ,以 完成 对 客体 物理 介质 进行 不 可 恢 
复 性 消 磁 。 


5. 审计 探头 
客体 重用 模块 中 的 关键 操作 信息 都 按 安全 需求 进行 安全 审计 。 该 审计 探头 提供 与 审 
计 子 系统 的 接口 , 按 审计 模块 的 需求 提供 审计 数据 。 


6. 虚拟 客体 映射 表 
此 实体 为 数据 表 , 提供 主体 可 见 的 虚拟 客体 到 实际 物理 客体 如 内 存 和 二 级 存储 设备 
的 映射 。 
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区 域 边界 子 系统 总 体 结构 如 图 2-9 所 示 。 


区 域 边界 子 系统 


节点 边界 网 络 边界 
节点 防火 南 | 网 关 防 火 墙 
恶意 代码 防范 | 入 全 检测 模块 


图 2-9 区 域 边界 子 系统 总 体 结构 


@ 防火 墙 模块 : 防火 墙 进行 信息 过 滤 , 来 保护 计算 机 网 络 免 受 非 授 权 人 员 的 骚扰 与 
黑客 的 人 侵 。 

@@ 人 侵 检测 模块 : 监视 受 保护 系统 的 状态 和 活动 ,采用 异常 检测 或 误 用 检测 的 方 
式 ,发 现 非 授权 的 或 恶意 的 系统 及 网 络 行为 ,为 防范 人 侵 行为 提供 有 效 手段 。 
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图 恶意 代码 防范 模块 : 基于 病毒 定义 码 匹 配 规则 、 异 常 行为 分 析 ( 神 经 网 络 等 算法 
和 技术 ) 技 术 的 分 析 与 实现 。 


2.4.1 防火 墙 子 模块 结构 
防火 墙 子 模块 的 结构 如 图 2-10 所 示 。 


包 过 滤 
不 对 等 访问 控制 网 关 
标识 与 鉴别 | 认证 | ob 加 肛 窑 端口 
子 系统 才 防 病毒 协议 
安全 防御 信息 
安全 审计 


策略 | 安全 策略 制定 
者 | 安全 日 志 管 理 


图 2-10 防火 墙 子 模块 的 结构 


1. 加 解密 支持 

支持 VPN 加 密 标准 ,例如 国内 专用 的 加 密 算 法 。 除 了 VPN ,加 密 除 了 在 保护 传输 数 
据 以 外 ,还 应 用 于 其 他 领域 ,如 身份 认证 、 报 文 完整 性 认证 , 密 钥 分 配 等 。 提 供 基 于 硬件 的 
加 密 , 以 提供 更 快 和 更 高 的 加 密 强度 。 


2. 管理 员 认 证 支持 

认证 类 型 灵活 ,防火 墙 支持 的 身份 认证 协议 ,一般 情况 下 具有 一 个 或 多 个 认证 方案 ， 
如 RADIUS、Kerberos、TACACS/TACACS 十 ,口令 方式 数字 证 书 等 ,使 防火 墙 能 够 为 
本 地 或 远程 用 户 提供 经 过 认证 与 授权 的 网 络 资源 的 访问 , 且 防 火 墙 管理 员 必须 决定 客户 
以 何 种 方式 通过 认证 。 

3. IP 访问 控制 和 不 对 等 访问 控制 

通过 防火 墙 的 包 内 容 的 过 滤 , 对 明确 定义 的 数据 包 ( 如 RFC 中 定义 的 ) 要 定义 过 滤 规 
则 集 ,由 若干 条 规则 组 成 ,涵盖 对 所 有 出 人 防火 墙 的 数据 包 的 处 理 方法 ;对 于 没有 明确 定 
义 的 数据 包 ,应 该 有 一 个 默认 的 处 理 方法 ;过 滤 规 则 应 易于 理解 和 易于 编辑 修改 ;同时 应 
具备 一 致 性 检测 机 制 ,防止 冲突 。 其 中 IP 包 过 滤 的 依据 主要 是 根据 IP 包头 信息 ,如 源 地 
址 和 目的 地 址 进行 过 滤 。 

在 应 用 层 提供 代理 支持 : 防火 墙 支持 应 用 层 代 理 , 包 括 HTTP、FTP、TELNET、 
SNMP 等 。 代 理 服务 在 确认 客户 端 连接 请 求 有 效 后 接管 连接 , 代 其 向 服务 器 发 出 连接 请 
求 ,代理 服务 器 根据 服务 器 的 应 答 ,决定 如 何 响应 客户 端 请 求 。 
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4. 安全 防御 功能 

支持 病毒 扫描 : 包括 扫描 电子 邮件 附件 中 的 DOC 和 ZIP 文件 ,FTP 中 的 下 载 或 上 
载 文件 内 容 , 以 发 现 其 中 包含 的 危险 信息 。 

提供 内 容 过 滤 : 防火 墙 能 在 HTTP、FTP、SMTP 等 协议 层 ,根据 过 滤 条 件 ,对 信息 流 
进行 控制 ,防火 墙 可 以 允许 通过 、 修 改 后 允许 通过 、 禁 止 通 过 、 记 录 日 志 、 报 警 等。 过 滤 内 
容 要 包括 URL、HTTP 携带 的 信息 ,如 Java Applet、JavaScript、ActiveX 和 电子 邮件 中 的 
Subject、To、From 域 等 。 

能 防御 DOS 攻击 : 防火 墙 通过 控制 、 检 测 与 报警 等 机 制 ,在 一 定 程 度 上 防止 或 减轻 
DOS 黑客 攻击 。 


5. 管理 功能 

需 管 理 的 管理 员 的 行为 主要 包括 : 通过 防火 墙 的 身份 鉴别 ,编写 防火 墙 的 安全 规则 ， 
配置 防火 墙 的 安全 参数 ,查看 防火 墙 的 日 志 等 。 防 火 墙 本 身 的 管理 一 般 有 本 地 管理 和 远 
程 管 理 。 

@ 本 地 管理 : 管理 员 通 过 防火 墙 的 Console 口 进行 配置 管理 。 

@ 远程 管理 : 管理 员 通 过 FTP、TELNET、HTTP 进行 配置 管理 。 


6. 安全 审计 

规定 了 对 于 符合 条 件 的 报 文 作 日 志 , 并 提供 日 志 信 息 管理 和 存储 方法 ;提供 自动 日 志 
扫描 具有 日 志 的 自动 分 析 和 扫描 功能 ,提供 自动 报表 日 志 报 告 书写 器 ;提供 告警 机 制 , 在 
检测 到 人 侵 网 络 以 及 设备 运转 异常 情况 时 ,通过 告警 来 通知 管理 员 采 取 必 要 的 措施 ,包括 
E-mail\ 呼 机 、 手 机 等 。 提 供 简要 报表 (按照 用 户 人 D 或 IP 地 址 ) ,并 能 分 类 打印 ;提供 实时 
统计 即 在 日 志 分 析 后 所 获得 的 智能 统计 结果 ,一 般 是 图 表 显示 。 


2.4.2 入侵 检测 子 模块 结构 


人 侵 检测 系统 分 为 四 个 基本 模块 : 事件 产生 器 .事件 分 析 器 、 响 应 单元 和 事件 数据 
库 , 其 中 的 事件 是 IDS 需要 分 析 的 数据 。 这 四 个 模块 只 是 逻辑 实体 ,一 个 模块 可 能 是 某 
人 台 计 算 机 上 的 一 个 进程 甚至 线程 ,也 可 能 是 多 个 计算 机 上 的 多 个 进程 ,这 些 模 块 以 GIDO 
(统一 人 侵 检 测 对 象 ) 格 式 进行 数据 交换 。 入 侵 检测 子 模块 的 结构 如 图 2-11 所 示 。 


上 


输出 : 高 级 中 
断 事件 
输出 : 事件 的 存储 信息 
事件 分 析 器 | 事件 数据 库 


输出 : 原始 或 低级 事 


ES 


事件 源 输入 : 事件 源 


图 2-11 入 侵 检 测 子 模块 的 结构 
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1. 事件 产生 器 
事件 产生 器 的 目的 是 从 整个 计算 环境 中 获得 事件 ,并 向 系统 的 其 他 部 分 提供 此 事件 。 


2. 事件 分 析 器 

事件 分 析 器 分 析 得 到 数据 ,并 产生 分 析 结 果 。 对 各 种 事件 进行 分 析 , 从 中 发 现 违反 安 
全 策略 的 行为 是 人 侵 检 测 系 统 的 核心 功能 。 人 侵 检 测 分 为 两 类 : 一 种 基于 标志 
(signature-based) , 另 一 种 基于 异常 情况 Canomaly-based) 。 


3. 响应 单元 

响应 单元 则 是 对 分 析 结果 作出 反应 的 功能 单元 , 它 可 以 作出 切断 连接 ,改变 文件 属性 
等 强烈 反应 ,也 可 以 只 是 简单 的 报警 。 

4. 事件 数据 库 

事件 数据 库 是 存放 各 种 中 间 和 最 终 数 据 的 地 方 的 统称 , 它 可 以 是 复杂 的 数据 库 , 也 可 
以 是 简单 的 文本 文件 。 


2.4.3 恶意 代码 防范 模块 结构 


其 提供 一 套 完善 的 恶意 代码 防范 体系 ,在 恶意 代码 传播 的 途径 上 拦截 数据 ,分 析 判 断 
出 数据 中 是 否 存在 恶意 行为 。 恶 意 代码 防范 子 模块 的 模块 关系 如 图 2-12 所 示 。 


防 病毒 一 一 | 检测 病毒 一 清除 病毒 应 急 恢复 


图 2-12 ”恶意 代码 防范 子 模块 的 模块 关系 


1. 防 病毒 

@ 病毒 样本 库 中 的 病毒 样本 从 以 下 途径 进入 计算 机 系统 时 发 出 警报 : 

存储 介质 、 网 络 . 电 子 邮件 

@ 设 定 满足 病毒 传染 发 作 的 条 件 , 然 后 激活 病毒 ,病毒 防治 产品 能 够 阻止 病毒 的 传 
播 、 破 坏 ; 

@ 对 病毒 人 侵 情 况 记 录 到 报告 文件 ; 

@ 网 络 产品 发 现 病毒 时 通知 网 络 管理 员 或 用 户 。 


2. 检测 病毒 
@ 对 病毒 样本 基本 库 至 少 能 检测 其 中 的 95%， 
@ 对 流行 病毒 样本 库 至 少 能 检测 其 中 的 98%; 
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图 对 特殊 格式 病毒 样本 库 至 少 能 检测 其 中 的 95%。 


3. 清除 病毒 

Q@ 清除 病毒 时 ,具有 备份 感染 宿主 的 功能 ; 

@ 对 病毒 样本 基本 库 至 少 能 清除 其 中 的 90%; 
图 对 流行 病毒 样本 库 至 少 能 清除 其 中 的 95%。 


4. 误 报 

对 检验 机 构 指 定 文件 组 成 的 误 报 检验 样本 库 的 误 报 率 不 能 高 于 0.1% 。 
5. 应 急 恢 复 

正确 备份 恢复 主 引导 记录 ,正确 备份 .恢复 引导 扇 区 。 

6. 版 本 智能 升级 


病毒 防治 产品 在 通过 互联 网 或 者 存储 介质 进行 版 本 升级 时 ,只 需要 下 载 或 拷贝 升级 
文件 的 修改 或 增加 部 分 ,以 提高 用 户 升级 的 效率 。 


二 级 通信 网 络 子 系统 负责 保证 安全 系统 在 通过 网 络 进行 跨 域 访问 时 的 安全 ,同时 阻 


止 外 部 网 络 通过 交换 机 非法 访问 内 部 安全 系统 。 对 网 络 安全 审计 、 网 络 恶 意 代码 防 杀 、 网 
络 备 份 / 宛 余 与 故障 恢复 、 网 络 应 急 处 理 和 网 络 及 网 络 设备 进行 管理 。 通 信 网 络 子 系统 的 
组 成 如 图 2-13 所 示 。 


通信 网 络 子 系统 


_| 外 部 


恶意 代码 防 杀 一 一 | 网 络 行为 监控 | 一 网 络 


| 


审计 子 系统 跨 域 管理 中 心 


图 2-13 通信 网 络 子 系统 的 组 成 


@ 网 络 行为 监控 负责 对 外 网 进行 监控 ,按照 策略 进行 过 滤 , 对 恶意 的 网 络 攻 击 拦截 ， 


递交 审计 子 系统 审计 或 递交 给 恶意 代码 防 杀 模块 处 理 。 


@ 恶意 代码 防 杀 具有 识别 网 络 恶 意 代 码 能 力 、 清 杀 恶 意 代码 能 力 、 清 杀 恶 意 代 码 失 


败 后 的 防护 能 力 、 定 期 扫描 及 分 层 分 级 管理 能 力 和 智能 升级 能 力 。 
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2.6 安全 管理 子 系统 的 设计 和 实现 


”安全 管理 子 系统 的 设计 和 实现 


系统 /安全 管理 子 系统 主要 由 管理 控制 台 、 审 计 模 块 、 策 略 库 和 几 个 与 安全 相关 的 服 
务 器 组 成 。 系 统 /安全 管理 子 系 统 的 组 成 结构 如 图 2-14 所 示 。 


下 载 策略 请 求 恶意 代码 | | 入 侵 检测 
服务 器 服务 器 


1 
安全 管理 系统 管理 


管理 员 标 识 
与 鉴别 


一 审计 管理 | | ， 


系统 /安全 管理 子 系统 审计 子 系统 


2-14 系统 /安全 管理 子 系统 的 组 成 结构 


1. 管理 控制 台 

管理 员 通 过 控制 台 对 整个 系统 的 安全 策略 进行 配置 与 控制 。 从 该 控制 台 登 录 并 管理 
系统 的 有 下 面 三 类 管理 员 。 

(1) 系统 管理 员 

主要 负责 主机 系统 的 运 维 、 监 督 和 管理 工作 ,定期 编写 主机 系统 运 维 与 应 用 性 能 分 析 

告 ,及 时 发 现 系统 问题 ,对 系统 故障 及 时 作出 应 急 处 理 。 

(2) 安全 管理 员 

负责 整个 系统 的 安全 管理 工作 ,定期 编写 安全 威胁 分 析 报 告 , 对 安全 事件 及 时 作出 反 
应 。 并 负责 网 络 运 维 的 管理 工作 ,定期 编写 网 络 运 维 与 性 能 分 析 报 告 , 对 网 络 故 障 及 时 作 
出 应 急 处 理 。 

(3) 审计 管理 员 

对 各 种 应 用 及 安全 事件 进行 审计 、 分 析 和 报告 ,对 历史 数据 进行 备份 。 


2. 安全 管理 模块 
主要 负责 主机 系统 的 运 维 、 监 督 和 管理 工作 。 


3. 系统 管理 模块 
负责 整个 系统 的 安全 管理 工作 和 网 络 运 维 的 管理 工作 。 


4. 策略 库 
放置 各 类 安全 策略 , 当 计 算 环境 子 系统 ,区 域 边界 子 系统 ,通信 和 网络 子 系统 需要 下 载 
安全 策略 时 , 便 需要 向 安全 管理 中 心 提出 请 求 ,从 策略 库 中 下 载 相应 策略 。 
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5. 恶意 代码 服务 器 ,入 侵 检测 服务 器 
存放 恶意 代码 模块 和 人 侵 检测 模块 所 需 安全 数据 ,并 且 存放 这 些 模 块 产生 的 安全 数 
据 , 例 如 入 侵 检 测 系统 中 的 漏洞 知识 库 。 


审计 子 系统 模块 结构 如 图 2-15 所 示 。 


节点 1 审计 服务 1 审计 数据 库 
A 加 一 
1 1 
| | 
| 一 | 策略 /日志 | 一 人 | 策略 库 
| | 
| 1 | 
~- 决策 管理 服务 [= 4 
, 舌 -| 租 | 
i 审计 | 审计 
TL 审计 第 | 分析 | | 查询 | | 1 
| 1 | 日 志 存 依 
1 1 | 数据 库 
1 上 
| 安全 | 
| 审计 | 
| 响应 上 
| 1 
1 1 
1 1 
1 
| 1 
1 L 
EE EA NN i 片 -一 
控制 台 


图 2-15 审计 子 系统 模块 结构 


1. 审计 探头 
获取 监控 范围 内 的 审计 信息 。 
2. 安全 审计 代理 
协调 调用 审计 探头 管理 模块 ` 策 略 管理 模块 .审计 信息 格式 转换 模块 .安全 传输 模块 ， 
实施 审计 信息 收集 、 转 换 、 传 输 和 策略 模板 下 发 功能 。 
安全 审计 代理 模块 调用 审计 探头 管理 注册 、 删 除 审计 探头 ;调用 策略 管理 模板 对 下 载 
的 策略 形成 策略 模板 ,下 发 给 特定 匹配 的 审计 探头 ;从 审计 探头 获取 审计 信息 后 ,调用 审 
计 信 息 格式 转化 模块 进行 标准 格式 转换 ;调用 安全 传输 模块 将 标准 格式 日 志 信 息 加 密 , 传 
输 至 审计 服务 器 进行 审计 分 析 。 安 全 审计 代理 模块 调用 关系 如 图 2-16 所 示 。 
@@ 安全 审计 代理 调用 审计 探头 管理 模块 注册 /删除 审计 探头 。 
@ 安全 审计 代理 从 服务 器 端 策略 库 获 得 策略 后 ,调用 策略 管理 模块 形成 策略 模板 ， 
a BO ssi 


2.7 审计 也 系统 的 设计 和 实现 


下 发 给 相 匹配 的 审计 探头 。 

图 各 种 审计 探头 获取 审计 信息 发 送 给 安全 审计 代理 后 ,安全 审计 代理 调用 审计 信息 
格式 转换 模块 形成 统一 的 日 志 格 式 信息 ,作为 本 地 日 志 存储 和 安全 审计 分 析 的 数据 源 。 

@ 安全 审计 代理 获得 统一 日 志 格 式 信息 ,调用 安全 传输 模块 加 密 后 ,再 传输 至 安全 
审计 分 析 。 

图 审计 探头 管理 模块 调用 审计 探头 模块 ,注册 或 删除 审计 探头 。 


安全 审计 代理 
Re 
审计 策略 审计 安全 
探头 管理 信息 传输 
管理 格式 模块 
转换 


图 2-16 安全 审计 代理 模块 调用 关系 


3. 日 志 存储 数据 库 

分 为 本 地 日 志 存 储 数据 库 和 服务 器 端 日 志 存 储 数 据 库 。 本 地 日 志 存 储 数据 库 是 在 节 
点 备份 审计 探头 采集 的 本 地 审计 日 志 , 以 防止 网 络 不 通 的 情况 下 ,审计 信息 的 丢失 ;服务 
器 端 日 志 存 储 数据 库 是 存储 这 个 信息 系统 获取 的 供 审计 分 析 的 日 志 信 息 。 


4. 审计 引擎 

开启 和 关闭 审计 引擎 ,通信 审计 代理 进行 审计 信息 加 密 / 解 密 传输 , 交 由 安全 审计 分 
析 模 块 对 信息 进行 审计 分 析 。 

5. 策略 管理 服务 

开启 策略 管理 下 载 服务 ,形成 三 重 结构 ,防止 直接 读 取 策略 库 , 而 对 策略 库 构 成 安全 
威胁 ,保证 了 策略 数据 的 安全 性 。 提 交 策 略 下 载 请 求 给 策略 /日 志 处 理 模 块 ,获取 策略 库 
中 的 策略 。 

策略 管理 服务 在 获取 策略 /日 志 处 理 模块 准备 发 送 策略 的 就 绪 状态 时 ,提示 安全 审计 
代理 调用 策略 管理 模块 处 理 策略 ,形成 策略 模板 。 


6. 安全 审计 分 析 

对 信息 系统 审计 日 志 记 录 进 行 安全 性 分 析 , 对 用 户 行为 进行 监控 ,防止 用 户 越权 使 
用 ,检测 系统 资源 使 用 状况 ,保证 系统 的 安全 性 。 这 种 分 析 可 用 和 人 侵 检测 来 支持 ,或 对 即 
将 来 临 的 安全 侵害 作出 自动 响应 。 


2D ss 
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7. 策略 /日 志 处 理 
本 模块 提供 一 种 策略 下 载 /存储 请 求 与 策略 库 / 日 志 存储 库 之 间 的 安全 通道 ,防止 直 
接 对 策略 库 和 日 志 存 储 库 的 读 取 , 从 而 保证 了 策略 库 和 日 志 存储 库 的 数据 不 被 破坏 。 


8. 安全 审计 响应 
同时 监控 审计 探头 管理 模块 和 审计 服务 器 端的 安全 威胁 响应 ,可 分 为 短 消 息 提 示 、 报 
警 等 不 同 级 别 的 响应 方式 。 


9. 安全 审计 查询 
为 第 三 方 查询 提供 了 接口 ,方便 审计 管理 员 在 控制 台 查询 有 关 的 审计 信息 。 


10. 策略 库 

分 为 本 地 策略 库 和 服务 器 端 策略 库 , 本 地 策略 库 是 策略 管理 模块 请 求 下 载 策略 在 本 
地 的 存储 备份 ;服务 器 端 策 略 库 是 存储 整个 信息 系统 中 审计 管理 员 、 系 统管 理 员 、 安 全 管 
理 员 ( 二 级 中 系统 管理 员 和 安全 管理 员 可 同 为 一 组 ) 制 定 的 安全 策略 。 


11. 安全 传输 模块 

安全 传输 模块 将 审计 代理 调用 审计 信息 格式 转换 模块 产生 的 统一 格式 信息 进行 安全 
性 加 密 , 以 保证 信息 的 完整 性 和 保密 性 ,再 传输 到 审计 服务 器 端 ;在 审计 服务 器 端 ,安全 传 
输 模块 将 统一 格式 审计 信息 进行 解密 后 ,递交 给 安全 审计 分 析 模 块 分 析 并 存储 。 


12. 策略 管理 

从 审计 服务 器 端的 策略 库 下 载 策略 到 本 地 ,并 将 从 策略 库 下 载 的 策略 按 不 同类 型 的 
审计 探头 形成 相应 的 策略 模板 ,提供 给 审计 探头 管理 模块 。 策 略 管理 模块 还 提供 可 扩展 
的 策略 模板 接口 ,可 以 定制 新 的 策略 模板 类 型 ,为 三 级 四 级 安全 系统 提供 接口 。 


13, 审计 探头 管理 
注册 新 的 与 策略 模板 匹配 的 审计 探头 ;删除 审计 探头 。 


14. 审计 信息 格式 转换 
将 审计 信息 转换 成 审计 子 系统 定义 的 标准 格式 。 
此 模块 同样 提供 可 扩展 的 格式 标准 接口 。 


典型 应 用 子 系统 的 设计 和 实现 


根据 二 级 安全 应 用 平台 安全 保护 的 要 求 ,应 用 系统 自身 要 提供 身份 认证 \ 访 问 控制 和 
应 用 行为 审计 等 基本 功能 ,并 实现 用 户 使 用 公文 流转 系统 过 程 中 鉴别 信息 存储 与 传输 的 
保密 性 与 完整 性 ,对 软件 容错 也 有 相应 要 求 。 在 二 级 安全 应 用 平台 应 用 演示 环境 中 具体 
安全 措施 如 图 2-17 所 示 。 


1. 计算 环境 子 系统 
@ 在 使 用 公文 流转 系统 的 服务 器 和 终端 上 安装 网 络 通信 防 病毒 系统 (具有 桌面 防火 


2 并 于 应 用 于 系统 的 设计 和 洋 现 3 


墙 功能 ?的 客户 端 时 ,接受 网 络 通信 防 病毒 的 统一 管理 ,防范 .阻止 病毒 . 肾 虫 木马 和 间谍 


软件 等 恶意 代码 的 传播 。 
od | 全 人 全 
安全 技术 环境 | | Lpaz [x 
协议 | “| 登录 界面 ER PRI 
wy | b 了 1 | 标识 | 体系 
全 资源 利用 子 系 统 : 和 2 
县 【| 访问 标识 || 人 | /第 = 方术 -一 一 TL 并 | 站 一 虹 国 /指纹 
安 | | 控制 | 公文 流转 统 | 名星 证 肝 和 一 ( 识 与 上 别 明史 | | 信物 人 
会 | 给 | 系统 | NT 失败 | 1 一 
1 
制 安全 市 计 子 系统 | 。! 放 -、 3 ” “| 电子 钥 吓 
| 1 Ve Ce a 
系统 | 安全 审读 滥 意 代码 防范 /安全 | | ~、 [a 1 
安全 | 性 检 分 析 / 数据 定 加 性 让 | -~ 二 让 放 到 | | 审计 分 析 ra 
1 1 > 1 
资源 利用 /网 络 和 侵 检测 /安全 审计 子 系统 | 网 络 通信 安全 | -1 | 审计 采集 | | 审计 响应 内 
| [| [RR || | 
1 选择 存储 | 
台 ee .i 


| 其 他 各 子 系统 的 规则 制定 与 策略 管理 | 


二 


下 于 系统 、 和 


| 
' 
| 各 安全 审计 子 系 统 审计 产生 的 采集 与 管理 
| 
| 
1 
| 
| 
| 
| 
| 


图 2-17 典型 应 用 组 成 结构 


@ 配置 操作 系统 的 安全 策略 ,并 利用 操作 系统 的 备份 机 制 ,定期 进行 系统 与 数据 备 

份 , 应 对 出 现 的 人 为 或 自然 造成 的 破坏 事件 。 
结合 终端 操作 系统 用 户 认 证 机 制 进行 身份 认证 ,防止 用 户 欺 骗 和 假冒 。 

图 在 公文 流转 系统 服务 器 上 安装 审计 代理 。 

@ 应 用 自身 的 安全 : 

。 支持 采用 数字 证 书 \ 智 能 电子 钥匙 等 第 三 方 身份 鉴别 方式 实现 身份 认证 ,登录 失 
败 结束 会 话 ; 
公文 流转 系统 管理 员 设 定 访问 控制 策略 ,依据 策略 控制 用 户 对 模块 的 使 用 
公文 流转 系统 审计 管理 员 对 应 用 系统 的 每 个 用 户 行为 进行 安全 审计 ; 
。 公文 流转 系统 支持 SSL 协议 保证 通信 保密 性 和 完整 性 ;公文 流转 系统 限制 应 用 系 

统 的 最 大 并 发 会 话 连接 数 ; 

。 公文 流转 系统 限制 单个 账户 的 多 重 并 发 会 话 。 
@ 公文 流转 系统 数据 库 中 数据 定期 定时 备份 。 


2. 通信 和 网络 子 系统 
(1) 网 络 通信 管理 系统 
为 了 保证 公文 流转 系统 的 高 可 用 性 ,需要 网 络 通信 管理 系统 实时 监控 网 络 通信 拓扑 、 
HN BR 
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网 络 通信 和 主机 服务 器 的 运行 状态 ,发 现 异常 及 时 报警 。 

(2) 网 络 通信 安全 审计 

对 用 户 访问 公文 流转 系统 的 所 有 行为 进行 监控 与 审计 ,并 可 以 基于 协议 还 原 查 看 用 
户 对 公文 流转 系统 进行 的 所 有 操作 。 


3. 区 域 边界 子 系统 

对 用 户 通过 网 络 通信 访问 公文 流转 系统 的 行为 进行 审计 。 

@ 使 用 防火 墙 控制 用 户 能 访问 公文 流转 系统 的 协议 和 端口 ,其 他 的 协议 和 端口 全 部 
关闭 ,降低 病毒 . 奸 虫 木马 和 间谍 软件 等 恶意 代码 传播 的 机 会 ; 

@ 在 防火 墙 上 选 配 防 病毒 引擎 ,禁止 病毒 .蠕虫 .木马 和 间谍 软件 等 恶意 代码 通过 区 
域 边界 传人 计算 环境 。 


4. 安全 管理 中 心 子 系统 

中 对 公文 流转 系统 服务 器 的 性 能 指标 和 运行 状态 等 进行 监控 和 管理 ,发 现 问题 及 时 
通知 管理 员 ， 

@ 公文 流转 系统 服务 器 端 和 客户 端 恶 意 代码 防护 的 查 杀 、 定 期 扫描 、 及 时 升级 等 

管理 ; 

图 对 用 户 访 问 公 文 流 转 系统 的 网 络 通 信行 为 ,用 户 在 终端 上 的 所 有 行为 (包括 操 
作 公 文 流转 系统 客户 端的 行为 ) ,用 户 在 应 用 系统 中 的 行为 进行 审计 、 关 联 分 析 和 综合 
管理 。 


示范 环境 功能 使 用 操作 演示 


2.9.1 自主 访问 控制 系统 


对 终端 系统 的 访问 资源 进行 控制 ,所 提供 的 控制 是 可 以 配置 的 ,并 以 中 心 进行 管理 。 
对 终端 用 户 的 可 执行 程序 授权 ,对 用 户 访 问 系 统 资源 及 网 络 服务 加 以 控制 ,并 及 时 记录 用 
户 的 行为 事件 产生 审计 信息 。 对 终端 系统 进程 实施 访问 控制 ,并 产生 审计 信息 。 

自主 访问 控制 系统 分 为 管理 控制 台 和 客户 端 ,具体 介绍 如 下 所 述 。 


1. 安全 管理 中 心 

安全 管理 中 心 登录 界面 如 图 2-18 所 示 。 

依据 三 员 分 离 的 原则 ,在 管理 中 心中 存在 三 类 操作 人 员 。 

(1) 系统 管理 员 

系统 管理 员 主 要 是 对 系统 的 资源 和 运行 进行 配置 控制 和 管理 ,包括 : 用 户 身份 管 
理 ,系统 资源 配置 ,系统 加 载 和 启动 。 

(2) 安全 管理 员 

安全 管理 员 主 要 是 对 主体 、 客 体 进行 统一 标记 ,对 主体 进行 授权 ,配置 统一 的 安全 
策略 。 
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2.9 示范 环境 功能 使 用 操作 演示 


图 2-18 安全 管理 中 心 登录 界面 


(3) 审计 管理 员 
审计 管理 员 主 要 是 按 安全 审计 策略 对 审计 记录 进行 分 类 ;提供 按时 间 段 开启 和 关闭 
相应 类 型 的 安全 审计 机 制 ; 对 各 类 审计 记录 进行 存储 管理 和 查询 。 


2. Windows 二 级 安全 操作 系统 

安装 Windows 二 级 操作 系统 ,并 由 安全 管理 中 心 统一 管理 ,在 用 户 登录 Windows 系 
统 时 需 使 用 已 授权 的 硬件 令 牌 (USB-KEY) 登录, 实施 双 因 子 身份 认证 ,具有 更 高 的 身份 
鉴别 功能 ,如 系统 资源 访问 受到 控制 ,拒绝 信息 的 非法 访问 ,恶意 代码 防范 ,拒绝 恶意 木 
马 ,病毒 对 系统 造成 的 危害 。 


3. Linux 二 级 安全 操作 系统 

安装 Linux 二 级 安全 操作 系统 ,并 由 安全 管理 中 心 统一 管理 ,在 用 户 登录 Linux 系统 
时 需 使 用 已 授权 的 硬件 令 牌 (CUSB-KEY) 登 录 ,实施 双 因 子 身份 认证 ,具有 更 高 的 身份 鉴 
别 功能 ,系统 资源 访问 受到 控制 ,拒绝 信息 的 非法 访问 。 


2.9.2 综合 审计 管理 系统 


综合 审计 管理 系统 主要 是 对 交换 机 、 防 火 墙 ` Windows 终端 Linux 终端 .网 关 等 各 个 
设备 的 审计 信息 通过 审计 探头 采集 ,并 上 传 到 综合 审计 管理 系统 ,由 审计 系统 进行 统一 管 
理 、 分 析 、 分 类 查询 、 存 储 。 

综合 审计 管理 系统 分 为 管理 控制 台 服 务 器 端 和 客户 端 (审计 探头 ), 具 体 介绍 如 下 所 述 。 


1. 管理 控制 台 

管理 控制 台 界面 如 图 2-19 所 示 。 

管理 业务 主要 包括 节点 信息 维护 管理 .探头 类 型 维护 管理 .策略 维护 管理 审计 记录 
查询 。 

@ 节点 维护 : 节点 ID 是 分 配给 客户 端 探头 的 唯一 人 D 号 ,探头 在 初始 配置 时 需要 输 
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图 2-19 管理 控制 台 界面 


入 此 卫 号 ,并 由 审计 服务 端 进行 验证 。 具 体操 作 有 添加 、 修 改 、 删 除 节 点 。 

@ 探头 类 型 维护 : 探头 类 型 分 Windows 探头 、Linux 探头 、 交 换 机 探头 防火 墙 探 
头 、 客 体 安全 重用 探头 网关 探 头 。 对 不 同 设备 及 系统 部 署 不 同 的 探头 类 型 。 

图 策略 维护 : 策略 维护 主要 是 配置 探头 按时 间 去 采集 审计 信息 ,对 探头 的 开启 / 关 
闭 进行 配置 。 

@ 审计 记录 查询 : 主要 是 按时 间 、 节 点 ID、 探 头 类 型 检索 审计 信息 。 

2. 审计 探头 

客户 端 程序 (审计 探头 ) ,根据 综合 管理 系统 配置 的 策略 去 采集 设备 上 的 审计 信息 ,并 
上 传 到 审计 服务 器 。 


2.9.3 剩余 信息 保护 系统 


剩余 信息 保护 系统 主要 是 对 客体 资源 进行 监控 和 管理 ,在 该 客体 资源 重新 分 配 前 对 
其 原 使 用 者 的 信息 进行 清除 ,以 确保 系统 的 重要 信息 不 被 
泄露 。 

剩余 信息 保护 运行 为 DOS 窗口 ,如 图 2-20 所 示 , 具 
体 介绍 如 下 所 述 。 

@ 手动 启动 及 时 生效 ,运行 ord. uil. exe 剩余 信息 保 
护 程序 ,在 DOS 命令 行 输入 start demand 来 启动 程序 。 

@@ 自动 启动 ,运行 ord. uil. exe 剩余 信息 保护 程序 ， 
在 DOS 命令 行 输入 start auto 来 启动 ,及 时 生效 并 在 每 次 
系统 启动 时 自动 启动 剩余 信息 保护 程序 。 

@ 关闭 剩余 信息 保护 程序 ,正常 启动 后 ,在 DOS 命 
令 行 输入 stop ord 来 关闭 。 


图 2-20 ”剩余 信息 保护 运行 窗口 


三 级 信息 系统 安全 设计 
和 实现 


_ 安全 功能 和 总 体 结构 


三 级 安全 应 用 平台 以 GB 17859 一 1999 等 国家 标准 为 基础 ,依据 国家 标准 对 三 级 安 
全 应 用 平台 的 安全 要 求 , 以 信息 标记 为 手段 ,以 强制 访问 控制 技术 为 核心 ,以 安全 易 用 为 
目标 ,采用 系统 集成 创新 的 方法 ,构建 三 级 安全 应 用 平台 。 防 止 信息 泄露 身份 假冒 、 非 授 
权 访 问 、 中 间 人 攻击 等 ,解决 三 级 安全 应 用 平台 的 安全 问题 。 

三 级 安全 应 用 平台 基本 结构 如 图 3-1 所 示 。 

三 级 安全 应 用 平台 由 业务 部 门 计算 环境 、 数 据 中 心计 算 环境 、 移 动 终端 和 安全 管理 中 
心 组 成 。 

数据 中 心计 算 环境 部 署 典 型 应 用 的 服务 器 和 数据 库 , 是 三 级 安全 应 用 平台 的 应 用 服 
务 提供 者 和 数据 集中 存放 地 。 业 务 部 门 计算 环境 模拟 典型 应 用 中 各 种 类 型 的 访问 终端 ， 
同时 在 业务 部 门 计算 环 境 中 部 署 了 面向 部 门 开 放 的 内 部 服务 器 , 供 部 门 内 部 人 员 使 用 。 
移动 终端 模拟 通过 网 络 接 人 数据 中 心计 算 机 环境 的 移动 用 户 。 安 全 管理 中 心 负责 整个 三 
级 安全 应 用 平台 的 主体 安全 标记 、 客 体 安全 标记 、 网 络 强制 访问 控制 .系统 强制 访问 控制 
等 进行 安全 管理 ,部 署 了 三 级 VPN 管理 系统 、 三 级 授权 管理 系统 、 三 级 认证 系统 、 三 级 安 
全 审计 系统 等 服务 器 。 

从 第 三 级 开始 对 安全 功能 的 设置 和 安全 强度 的 要 求 等 方面 均 有 明显 提高 。 增 加 了 标 
记 和 强制 访问 控制 功能 。 对 所 有 主体 及 其 所 控制 的 客体 (例如 ,进程 .文件 . 段 . 设 备 ) 实 施 
强制 访问 控制 。 为 这 些 主体 及 客体 指定 敏感 标记 ,这 些 标记 是 等 级 分 类 和 非 等 级 类 别 的 
组 合 , 它 们 是 实施 强制 访问 控制 的 依据 。 

三 级 安全 应 用 平台 强制 访问 控制 系统 流程 如 图 3-2 所 示 。 

执行 主体 (应 用 、 代 表 用 户 、 代 表 系 统 ) 提 出 访问 请 求 ,策略 审查 模块 对 主体 提出 的 请 
求 与 访问 控制 列表 对 比 ,匹配 则 允许 ,不 匹配 则 执行 等 级 改变 。 但 是 为 了 检查 该 访问 请 求 
是 否 符合 系统 安全 策略 ,访问 控制 模块 需要 与 标识 管理 模块 通信 ,以 获得 访问 请 求 中 主客 
体 的 安全 标识 。 在 此 基础 上 ,强制 访问 控制 模块 依据 系统 符合 性 检查 策略 判断 该 请 求 是 
否 安全 ,如 果 检 查 通 过 , 则 允许 该 请 求 执行 ,否则 将 请 求 传 给 等 级 改变 审核 模块 。 等 级 改 
变 审核 模块 依据 系统 等 级 改变 审核 策略 检查 是 否 能 够 通过 临时 改变 或 永久 改变 客体 安全 
级 的 方式 来 允许 该 请 求 执行 ,如 果 可 以 , 则 允许 该 请 求 ,否则 拒绝 该 请 求 ,同时 进行 审计 
报警 。 
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3.1 安全 功能 和 总 体 结构 


客体 = 
| 村 i 大 执行 主体 
标记 es 请 求 访问 资源 
访问 操作 | 访问 控制 执行 


=| 身份 | 授权 属性 


身份 管理 、 标 识 、 授 权 管 理 策略 管理 审核 管理 


安全 管理 中 心 


3-2 ”基于 访问 控制 的 总 体 结构 流程 


系统 在 使 用 之 前 ,首先 需要 安全 管理 员 对 其 进行 初始 化 , 即 安 全 管理 员 通 过 安全 管理 
中 心 制定 系统 安全 策略 (符合 性 检查 策略 、 等 级 改变 策略 、 自 主 访问 控制 策略 等 ) ,确定 系 
统 中 重要 客体 资源 的 安全 级 ,确定 系统 中 合法 用 户 的 安全 级 ,确定 系统 中 可 用 程序 列表 及 
其 完整 性 摘要 值 ,发 行 代表 用 户 身份 唯一 标识 的 USB-KEY 等 。 在 此 之 后 ,安全 管理 员 还 
需要 对 安全 域 中 的 所 有 终端 ,服务 器 ,边界 控制 设备 以 及 网 络 遂 信 设备 进行 安全 初始 化 ， 
即 确定 所 有 平台 的 身份 ,确定 平台 操作 系统 内 核 的 完整 性 状态 等 。 

系统 初始 化 完毕 后 ,用 户 就 可 以 安全 地 启动 并 登录 系统 。 在 此 过 程 中 ,系统 首先 装载 
代表 用 户 身 份 唯一 标识 的 USB-KEY ,然后 获取 到 USB-KEY 中 用 户 的 信息 ,从 而 确定 了 
系统 的 执行 主体 数据 结构 。 在 此 基础 上 ,系统 请 求 策 略 服 务 器 下 载 与 该 执行 主体 相关 的 
系统 安全 策略 ,下载 成 功 后 ,系统 将 初始 化 用 户 的 执行 空间 ,此 后 ,用 户 便 可 以 启动 应 用 ， 
访问 系统 中 的 信息 资源 。 

系统 中 的 应 用 代表 用 户 行使 权限 , 当 应 用 发 出 访问 本 地 或 网 络 资源 的 请 求 后 ,系统 中 
的 强制 访问 控制 模块 将 截获 该 请 求 , 取 出 其 中 的 主体 .客体 和 操作 信息 ,然后 查询 系统 全 
局 主客 体 表 , 得 到 相应 主客 体 的 安全 级 信息 ,以 对 其 进行 策略 符合 性 检查 , 即 检查 该 请 求 
是 否 满足 系统 的 安全 策略 ,如 果 检 查 不 通过 ,系统 将 依照 等 级 改变 策略 对 该 请 求 进行 异常 
处 理 , 即 判断 发 出 该 请 求 的 主体 是 否 有 特权 访问 该 客体 ,如 果 上 述 检 查 都 不 通过 ,系统 将 
拒绝 该 请 求 ,并 进行 审计 处 理 。 生 成 的 审计 信息 将 被 送 往 审 计 服 务 器 , 供 系统 审计 员 检 
查 。 当 上 述 检查 通过 后 ,该 主体 获得 了 访问 对 应 资源 的 权限 ,但 是 如 果 请 求 资源 和 主体 不 
在 同一 个 安全 域 ,那么 该 请 求 必然 会 将 边界 控制 设备 截获 并 且 进 行 安全 性 检查 。 边 界 控 
制 设备 不 仅 接受 本 域 安全 管理 中 心 的 统一 管理 ,而 且 需 要 上 一 层 安 全 管理 中 心 为 其 制定 
跨 域 的 互联 策略 ,这样 安全 管理 中 心 就 可 以 从 跨 域 的 角度 检查 是 否 人 允许 该 主体 请 求 该 客 


Hi B9 ss 


-第 3 章 三 级 信息 系统 安全 设计 和 实现 _ 


体 资源 。 当 检查 通过 后 ,该 请 求 包 将 通过 安全 的 通信 和 网络 传 到 指定 安全 域 中 ,在 传输 过 程 
中 ,不 会 受到 恶意 的 窃听 和 自 改 。 在 系统 被 使 用 的 过 程 中 ,有 时 会 因为 业务 的 需要 改变 主 
客体 的 安全 级 ,这 时 需要 用 户 向 安全 管理 中 心 提 出 申请 ,安全 管理 中 心 接 到 申请 后 ,将 道 
知 相关 审批 结构 进行 审核 ,如 果 审 核 通过 ,安全 管理 中 心 将 为 该 主客 体重 新 定 级 ,生成 新 
的 主客 体 表 ,通知 安全 域 中 的 节点 设备 同步 。 


_ 实现 方案 和 设备 类 型 


根据 强制 访问 控制 的 总 体 流程 ,可 将 三 级 安全 应 用 系统 分 为 七 个 子 系统 : 网 络 通信 
安全 子 系统 、 区 域 边界 安全 子 系统 、 计 算 节 点 子 系统 、 应 用 访问 控制 子 系统 、 典 型 应 用 子 系 
统 、 安 全 审计 子 系 统 和 安全 管理 子 系统 组 合 。 其 系统 组 成 如 图 3-3 所 示 。 


| 三 级 安全 应 用 平台 | 


1 1 1 1 


安全 审计 计算 节点 | | 区 域 边界 | | 网络 通信 安 | | 应 用 访问 控 | | 典型 应 
了 系统 “系统 子 系统 全 子 系统 | | 制 子 系统 子 系统 


图 3-3 三 级 安全 应 用 系统 组 成 


1. 网 络 通信 安全 子 系统 
网 络 通 信安 全 子 系统 对 安全 域 闻 的 信息 流 进行 封装 ,确保 信息 在 传输 过 程 中 不 会 被 
非法 窃听 和 自 改 ,主要 由 三 级 VPN 系统 组 成 。 


2. 计算 节点 子 系统 

计算 节点 子 系统 对 访问 终端 和 服务 器 的 系统 进行 增强 ,使 其 支持 强制 访问 控制 ,由 
Windows 安全 操作 系统 和 Linux 安全 操作 系统 组 成 。 

(1) Windows 安全 操作 系统 

对 现 有 Windows 操作 系统 进行 安全 增强 ,如 增加 标识 、 强 制 访问 控制 ,客体 重用 等 安 
全 功能 ,增强 身份 鉴别 级 别 机 制 的 安全 性 ,部 分 实现 系统 的 结构 化 ,使 其 基本 满足 
GB 17859 的 三 级 要 求 , 为 信息 系统 的 安全 提供 有 效 支 撑 。 

(2) Linux 节点 子 系统 

对 Linux 操作 系统 进行 结构 化 改造 和 安全 增强 ,如 增加 标识 、 强 制 访问 控制 、 客 体重 
用 等 安全 功能 ,增强 身份 鉴别 级 别 机 制 的 安全 性 ,明确 系统 核心 层 、 系 统 层 以 及 应 用 层 的 
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.3.3 .安全 计算 环境 子 系 统 的 设计 和 实现 


边界 ,对 各 层 之 间 的 信息 流 进行 安全 检查 ,确保 系统 TCB 始终 有 效 、 不 会 被 恶意 算 改 ,为 
上 层 应 用 系统 的 安全 提供 足够 支撑 。 


3. 边界 控制 安全 子 系统 
对 流入 或 流出 应 用 环境 的 信息 进行 安全 检查 ,增强 其 强制 访问 控制 功能 ,保护 应 用 环 
境 的 安全 性 不 会 受到 破坏 , 它 由 增强 型 防火 墙 组 成 。 


4. 应 用 访问 控制 子 系统 
对 应 用 资源 进行 授权 管理 并 实施 基于 角色 和 安全 标识 的 访问 控制 ,防止 应 用 系统 资 
源 被 非 授 权 访 问 , 它 由 应 用 访问 控制 系统 组 成 。 


5. 安全 管理 子 系统 

对 信息 系统 中 的 终端 节点 、 边 界 控制 .网 络 传输 安全 实施 集中 管理 ,包括 管理 用 户 和 
平台 身份 .标识 主 / 客 体 安 全 等 级 和 范畴 、 制 定 自主 访问 控制 策略 、 符 合 性 检查 策略 、 等 级 
改变 策略 、 可 信 接 和 策略、 系统 可 信和 预期 值 列表 等 ,为 三 级 信息 系统 的 安全 提供 基础 保障 。 


6. 安全 审计 子 系统 

对 信息 系统 中 的 终端 节点 .边界 控制 、 网 络 传输 、 安 全 管理 统一 实施 与 安全 相关 的 审 
计 管理 ,包括 制定 审计 策略 、 接 受 并 处 理 审计 结果 信息 等 ,为 判断 系统 安全 状态 提供 依据 。 

7. 典型 应 用 系统 


典型 应 用 系统 的 实现 基于 强制 访问 控制 的 模拟 应 用 ,在 本 项 目 中 选用 OA 系统 ,模拟 
三 级 平台 中 的 最 常见 的 办 公 和 公文 处 理 。 


安全 计算 环境 子 系统 的 设计 和 实现 


3.3.1 系统 设计 


通过 计算 节点 子 系统 来 实现 。 具 体 的 功能 要 求 如 下 所 述 。 

@ 强制 访问 控制 : 三 级 Windows 操作 系统 需 支 持 二 维 标识 模型 的 强制 访问 控制 机 
制 , 能 够 保护 信息 系统 的 机 密 性 及 完整 性 不 受 破坏 。 强 制 访问 控制 机 制 的 实施 与 系统 二 
维 安全 模型 一 致 的 安全 策略 能 够 控制 进程 对 文件 的 所 有 操作 。 强 制 访问 控制 机 制 始 终 有 
效 ,不 会 被 旁 路 。 

四 标记 : 三 级 Windows 操作 系统 需 对 系统 中 的 进程 .文件 进行 全 程 标记 ,确保 主客 
体 在 整个 生命 周期 中 其 标记 信息 都 是 准确 完整 一 致 的 。 其 提供 三 维 标记 ,标记 实体 保密 
性 级 别 、 完 整 性 级 别 和 范畴 。 标 记 的 对 象 包括 系统 中 的 用 户 、 所 有 文件 及 进程 。 能 够 确保 
实体 在 整个 生命 周期 中 ,其 标记 信息 是 准确 完整 一 致 的 。 

图 身份 鉴别 : 三 级 Windows 操作 系统 应 有 基于 可 信和 硬件 设备 的 安全 身份 鉴别 机 制 ， 
且 可 以 通过 安全 的 机 制 将 身份 与 授权 权限 绑 定 。 能 够 提供 基于 可 信 硬 件 设备 的 安全 身份 
鉴别 机 制 ,确保 非 授权 用 户 无 法 访问 信息 系统 。 
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图 审计 : 三 级 Windows 操作 系统 应 能 对 系统 中 所 有 违反 安全 策略 的 操作 进行 审计 ， 
并 能 阻止 非 审 计 管 理 员 用 户 对 审计 信息 的 访问 或 破坏 。 能 够 记录 下 述 事 件 : 用 户 登 录 事 
件 、 客 体 的 创建 和 删除 事件 、 安 全 管理 员 、 安 全 审计 员 、 系 统 操 作 员 以 及 系统 中 其 他 用 户 的 
一 切 与 安全 相关 的 行为 。 审 计 的 具体 内 容 以 满足 GB 17859 一 1999 中 三 级 系统 的 审计 规 
范 要 求 为 标准 。 

@ 数据 完整 性 : 三 级 Windows 操作 系统 可 通过 自主 和 强制 完整 性 策略 ,阻止 非 授权 
用 户 修改 或 破坏 敏感 信息 。 


3.3.2 ”系统 实现 


为 了 实现 前 面 所 述 的 安全 功能 ,不 仅 需要 对 现 有 的 Windows 操作 系统 平台 进行 安全 
增强 ,而 且 需 要 针对 特殊 的 应 用 ,对 其 进行 安全 封装 ,以 使 其 满足 高 等 级 的 安全 需求 。 
图 3-4 是 三 级 Windows 操作 系统 中 各 安全 模块 之 问 的 关系 图 。 


Windows 应 用 平台 Windows 应 用 平台 
We 安全 代理 | | 安全 应 | wt| | 区 安全 应 
程序 了 模块 程序 程序 了 模块 程序 
] | | | | | | | 
应 用 封装 模块 安全 系统 调用 接口 应 用 封装 模块 安全 系统 调用 接口 
T T T 
Windows 系统 内 核 Windows 系 统 内 核 
Windows 安全 子 模块 Windows 安 全 子 模块 


图 3-4 三 级 Windows 操作 系统 子 模块 关系 


王 


图 3-4 可 以 看 出 ,Windows 安全 子 模块 是 三 级 Windows 操作 系统 安全 的 核心 , 负 
责 实 现 大 部 分 的 安全 功能 ,包括 标记 、 强 制 访问 控制 .身份 鉴别 .审计 以 及 客体 重用 等 :应 
用 封装 模块 负责 对 现 有 的 应 用 程序 进行 安全 封装 ,使 得 系统 的 安全 机 制 能 够 捕获 应 用 运 
行 时 的 语义 ,从 而 能 够 更 灵活 地 进行 诸如 访问 控制 等 系统 安全 决策 ,确保 在 不 破坏 系统 安 
全 性 的 前 提 下 更 好 地 支撑 上 层 安 全 应 用 ;安全 系统 调用 接口 是 三 级 Windows 操作 系统 在 
现 有 操作 系统 基础 上 封装 出 来 的 一 系列 安全 系统 调用 ,使 得 安全 应 用 程序 能 够 通过 调用 
这 些 接口 将 应 用 的 语义 传递 给 操作 系统 ,方便 操作 系统 进行 安全 决策 ;安全 代理 子 模块 是 
一 个 系统 服务 程序 ,负责 和 安全 管理 中 心 及 其 他 终端 平台 之 间 的 信息 交互 ,包括 标记 信息 
的 同步 、 安 全 策略 的 同步 、 可 信 证 明 的 信息 交互 等 。 下 面 将 详细 描述 上 述 各 模块 的 工作 流 
程 、 相 关 数 据 结构 以 及 模块 之 间 的 接口 关系 等 。 
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1. 标记 子 模块 工作 流程 

标记 子 模块 主要 为 强制 访问 控制 模块 提供 标记 管理 服务 ,包括 获取 主体 标记 、 获 取 客 
体 标记 、 临 时 修改 客体 标记 、 永 久 修改 客体 标记 等 。 当 标记 管理 模块 收 到 上 述 请 求 后 ,将 
访问 存放 在 本 机 上 的 标记 库 , 从 而 做 出 相应 的 动作 。 由 于 安全 域 中 用 户 的 数量 有 限 , 所 以 
三 级 Windows 操作 系统 平台 中 的 主体 标记 库 是 全 局 一 致 的 ,由 安全 管理 中 心 统一 分 发 和 
管理 , 即 当 有 用 户 信 息 发 生 改 变 时 ,安全 管理 中 心 将 发 出 命令 ,要 求 安全 域 中 的 所 有 终端 
到 安全 管理 中 心 去 同步 该 修改 信息 。 然 而 ,由 于 信息 系统 的 复杂 性 ,客体 的 数量 极其 庞 
大 ,因此 三 级 Windows 操作 系统 平台 的 客体 标记 库 是 局 部 的 ,只 包含 本 终端 上 的 所 有 文 
件 的 客体 标记 , 当 访 问 控制 模块 请 求 其 他 终端 上 的 客体 标记 信息 时 ,标记 子 模块 需要 通过 
安全 代理 程序 和 对 方 终端 道 信 , 以 请 求 对 方 的 标记 子 模块 返回 相应 的 客体 标记 。 


2. 强制 访问 控制 模块 结构 和 工作 流程 
强制 访问 控制 工作 流程 如 图 3-5 所 示 。 


应 用 请 求 访问 资源 


标记 于 模块 


| 


主体 标记 库 
客体 标记 库 


审计 于 模块 


安全 管理 中 心 
图 3-5 强制 访问 控制 工作 流程 


应 用 发 出 访问 请 求 后 ,操作 系统 强制 访问 控制 模块 会 拦截 到 该 请 求 , 并 对 其 进行 策 
略 复合 性 检查 。 但 是 为 了 检查 该 访问 请 求 是 否 符合 系统 安全 策略 ,访问 控制 模块 需要 
与 标记 子 模块 通信 ,以 获得 访问 请 求 中 主客 体 的 安全 标记 。 在 此 基础 上 ,强制 访问 控 
制 模块 依据 系统 符合 性 检查 策略 判断 该 请 求 是 否 安全 ,如 果 检 查 通 过 , 则 允许 该 请 求 
执行 。 

然而 在 现 有 Windows 计算 平台 上 ,从 应 用 层 到 操作 系统 层 , 再 到 设备 层 , 操 作 被 逐步 
细 化 , 随 之 而 来 的 是 操作 所 在 的 语 境 被 逐渐 冲淡 。 例 如 在 操作 系统 层 只 能 看 到 基本 的 读 、 
写 、 创 建 . 执 行 等 动作 ,但 是 这 些 动作 是 在 什么 语 境 下 发 起 的 ,相关 应 用 的 流程 如 何 ,操作 
系统 层 并 不 得 而 知 ,于 是 会 出 现 应 用 层 某 个 安全 合理 的 请 求 , 在 操作 系统 看 来 就 是 不 安全 
的 情况 。 因 此 ,仅仅 在 操作 系统 层 进行 访问 控制 ,难免 会 出 现 控制 不 灵活 ,影响 系统 可 用 
性 的 情况 。 为 了 解决 以 上 问题 ,本 项 目 采 用 图 3-6 所 示 的 强制 访问 控制 架构 ,充分 结合 应 
用 的 流程 ,在 具体 应 用 语 境 下 判断 应 用 操作 请 求 的 安全 性 ,实用 性 更 强 。 
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应 用 封装 子 模块 安全 系统 调用 接口 
层 强制 访问 控制 模块 


上 


系统 级 强制 访问 控制 模块 | 内 核 层 


图 3-6 强制 访问 控制 模块 架构 


由 图 可 以 看 出 ,本 项 目 中 的 强制 访问 控制 模块 被 分 成 两 层 ,底层 是 系统 级 的 ,这 一 层 
只 能 看 到 操作 系统 级 的 一 些 基本 动作 ,也 只 能 严格 按照 安全 模型 进行 强制 访问 控制 ,对 出 
现 违背 安全 策略 的 操作 缺乏 结合 应 用 流程 进行 安全 检查 的 能 力 。 上 层 强 制 访问 控制 模块 
能 够 充分 结合 应 用 的 流程 ,作出 更 准确 实用 的 强制 访问 控制 决策 。 由 于 实现 方式 不 同 , 上 
层 强 制 访问 控制 模块 被 分 成 两 种 : 安全 封装 和 安全 系统 调用 接口 方式 。 其 中 安全 封装 方 
式 适 用 于 那些 已 经 成 熟 的 或 源 代码 不 可 控 的 关键 应 用 ,通过 拦截 这 些 应 用 发 出 的 系统 调 
用 ,还 原 出 相应 的 应 用 流程 信息 ,以 便 在 应 用 发 出 违背 系统 安全 策略 的 请 求 时 ,对 其 进行 
调节 ,以 满足 业务 的 正常 需求 。 安 全 系统 调用 是 一 些 经 过 安全 封装 的 系统 调用 接口 ,内 赔 
强制 访问 控制 机 制 。 对 接口 进行 封装 的 目的 是 确保 应 用 相关 的 流程 及 语 境 信息 能 够 传递 
到 强制 访问 控制 模块 中 ,从 而 使 得 强制 访问 控制 模块 能 够 利用 这 些 信 息 进 行 策略 符合 性 
检查 和 等 级 改变 检查 ,最 终 作出 更 合理 的 访问 控制 决策 。 


3. 身份 鉴别 模块 流程 

身份 鉴别 分 为 用 户 身份 鉴别 和 平台 身份 鉴别 两 种 ,在 现 有 的 Windows 操作 系统 中 ， 
这 两 种 身份 鉴别 机 制 都 比较 薄弱 。 如 Windows 操作 系统 采用 单一 口令 的 方式 对 用 户 进 
行 身份 鉴别 ,这 种 方式 容易 遭受 字典 攻击 ;而 以 Windows 操作 系统 为 基础 的 终端 在 相互 
通信 时 ,并 没有 验证 对 方 平台 身份 的 环节 ,容易 遭受 平台 身份 假冒 攻击 。 因 此 ,在 三 级 
Windows 操作 系统 平台 中 ,应 对 上 述 两 种 身份 鉴别 机 制 进行 安全 增强 ,确保 非 授权 用 户 
无 法 人 侵 信息 系统 。 

针对 用 户 身份 鉴别 ,三 级 Windows 操作 系统 增加 了 一 个 硬件 模块 USB-KEY ,作为 
用 户 身 份 的 唯一 标识 , 当 用 户 登录 系统 时 ,需要 插入 USB-KEY ,然后 操作 系统 对 用 户 进 
行 双 因子 身份 认证 ,只 有 用 户 拥有 合法 的 USB-KEY, 并 且 输 入 正确 的 Windows 十 
USB-KEY 口令 ,才能 登录 系统 。 

针对 平台 身份 鉴别 ,三 级 Windows 操作 系统 要 求 在 平台 收 到 其 他 平台 发 出 的 连接 请 
求 时 ,都 要 鉴别 对 方 的 平台 身份 ,确保 只 有 合法 可 信 的 平台 能 够 和 其 进行 相互 通信 。 其 工 
作 流 程 如 下 : 平台 收 到 其 他 平台 的 连接 请 求 后 ,将 通知 安全 代理 程序 模块 获取 对 方 的 平 
台 身 份 , 安 全 代理 模块 接 到 请 求 后 ,将 主动 和 对 方 的 安全 代理 程序 模块 通信 ,请 求 对 方 平 
台 的 身份 ,然后 将 得 到 的 身份 返回 给 身份 鉴别 模块 ,身份 鉴别 模块 验证 其 可 信 性 。 
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4. 审计 模块 流程 

审计 模块 的 作用 是 依据 安全 管理 中 心 制定 的 审计 策略 ,记录 平台 上 用 户 的 相应 操作 
行为 ,尤其 是 用 户 违背 系统 安全 策略 的 行为 。 显 然 , 审 计 模 块 需要 和 系统 中 的 其 他 安全 功 
能 子 模块 (如 标记 子 模块 .访问 控制 子 模块 或 身份 鉴别 子 模块 等 ) 进 行道 信 , 以 明确 用 户 的 
操作 行为 及 相应 安全 机 制作 出 的 决策 结果 。 当 审计 模块 收 到 这 些 安全 功能 模块 发 出 的 信 
息 后 ,将 对 照 系统 的 审计 策略 ,确定 需要 对 什么 样 的 动作 进行 审计 ,需要 记录 相应 动作 的 
什么 信息 等 ,从 而 形成 审计 日 志 。 为 了 安全 管理 的 需要 ,终端 上 的 安全 代理 程序 需要 定期 
地 将 本 地 的 审计 日 志 上 传 到 安全 管理 中 心 ,存放 到 审计 信息 库 中 ,使 得 安全 管理 员 可 以 从 
中 了 解 各 终端 的 运行 状态 ,并 且 在 发 生 安全 事故 后 ,可 以 寻找 元 凶 , 如 图 3-7 所 示 。 


标记 子 模块 审计 策略 
强制 访问 | /7 [er - 
过 制 了 模块 | | 审计 模 吹 审计 日志 “| 程序 一 
本 全 安全 管理 中 心 
3 审计 信息 库 
图 3-7 ”审计 模块 工作 流 大 
5. 主要 数据 结构 
有 以 下 四 种 : 


(1) 安全 标记 数据 结构 ; 

(2) 主体 安全 标记 数据 结构 ; 

(3) 客体 安全 标记 数据 结构 ; 

(4) 客体 临时 安全 标记 数据 结构 。 

6. 接口 设计 

(1) 标识 管理 模块 提供 服务 接口 

当 访 问 控制 模块 接 到 这 一 请 求 后 ,会 依据 等 级 改变 审核 策略 ,判断 是 否 人 允许 该 主体 对 
该 客体 的 安全 级 作 如 此 改变 ,如 果 人 允许 , 则 请 求 标识 管理 模块 作 相 应 修改 ,否则 拒绝 该 
请 求 。 

(2) 强制 访问 控制 子 模块 接口 

@ 安全 打开 文件 接口 。 安 全 系统 调用 接收 到 这 一 访问 请 求 后 ,需要 根据 人 口 参数 
SubLable 结构 向 安全 标记 子 模块 请 求 发 起 该 操作 的 主体 安全 标记 , 同时 根据 FileName 
获得 客体 安全 标记 ,然后 请 求 系统 打开 该 文件 。 如 果 打 开 成 功 , 则 安全 调用 接口 将 记录 主 
体 安全 标记 、 客 体 安全 标记 以 及 文件 句柄 供 以 后 的 访问 控制 用 ,然后 返回 文件 句柄 给 上 层 
应 用 。 

@@ 安全 读 文件 接口 。 安 全 系统 调用 接收 到 这 一 访问 请 求 后 ,将 查找 内 部 维护 的 和 该 
文件 句柄 相关 的 数据 记录 ,以 获取 到 打开 该 文件 的 主体 安全 标记 以 及 该 文件 的 客体 安全 
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标记 ,然后 依据 符合 性 检验 策略 判断 该 主体 是 否 能 够 读 操作 该 客体 ,如 果 不 能 , 则 检查 等 
级 改变 策略 ,看 是 否 能 够 临时 改变 客体 的 安全 级 ,以 允许 该 行为 发 生 。 

@ 安全 写 文件 接口 。 安 全 系统 调用 接收 到 这 一 访问 请 求 后 ,将 查找 内 部 维护 的 和 该 
文件 句柄 相关 的 数据 记录 ,以 获取 到 打开 该 文件 的 主体 安全 标记 以 及 该 文件 的 客体 安全 
标记 ,然后 依据 符合 性 检验 策略 判断 该 主体 是 否 能 够 写 操作 该 客体 ,如 果 不 能 , 则 检查 等 
级 改变 策略 ,看 是 否 能 够 临时 改变 客体 的 安全 级 ,以 允许 该 行为 发 生 。 


_ 安 全 区 域 边界 子 系统 的 设计 和 实 


3.4.1 系统 设计 


安全 区 域 边界 子 系统 的 实现 基于 主客 体 标识 的 访问 控制 。 其 控制 目标 为 : 定义 网 络 
环境 下 主体 与 客体 的 内 涵 , 对 主体 与 客体 进行 安全 标记 ;以 安全 管理 为 手段 ,建立 边界 访 
问 控制 策略 ;以 主体 与 客体 的 安全 级 为 基础 ,实施 网 络 边 界 的 强制 访问 控制 ,提供 基于 用 
户 的 强制 接 人 控制 和 边界 强制 访问 控制 等 功能 ;通过 以 安全 标记 为 基础 的 安全 审计 ,保证 
强制 访问 控制 的 可 核查 性 ;同时 提供 数据 机 密 性 、 完 整 性 等 机 制 , 保 证 信息 的 安全 传输 。 
网 络 边界 子 系统 的 边界 控制 功能 与 VPN 功能 一 体 化 实现 在 相同 的 控制 点 进行 控制 , 保 
证 传输 安全 性 的 同时 ,提高 了 网 络 数据 包 处 理 效率 。 

安全 区 域 边界 子 系统 作为 置 于 不 同 网 络 安全 域 之 间 的 访问 控制 设备 ,一 般 安装 在 计 
算 环 境 的 交界 上 ,具有 基于 安全 标记 的 过 滤 和 管理 进出 数据 包 、 封 堵 禁 止 的 访问 行为 . 记 
录 道 过 防火 墙 的 信息 内 容 和 活动 对 网 络 攻击 进行 检测 和 告警 .阻止 非法 访问 等 功能 。 

为 实现 以 上 的 安全 功能 ,区 域 边 界 子 系统 主要 包括 包 过 滤 模块 .内 容 过 滤 模 块 ` 流 量 
统计 与 控制 模块 、 网 络 审计 模块 .应 用 代理 模块 和 Qos 管理 模块 等 组 成 部 件 。 


1. 基于 安全 标记 的 数据 过 滤 模 块 
基于 安全 标记 实施 非法 接 人 和 网 络 访问 控制 。 


2. 包 过 滤 模 块 

对 数据 包 实 施 基 于 策略 的 过 滤 , 支 持 用 户 自 定义 的 安全 策略 。 安 全 策略 可 以 是 
MAC 地 址 、IP 地 址 、 端 口 ,协议 类 型 和 时 间 的 部 分 或 全 部 组 合 。 安 全 策略 使 用 最 小 安全 
原则 , 即 除非 明确 允许 ,否则 就 禁止 。 

3. 网 络 地 址 转换 


实现 NAT、SNAT、DNAT 等 网 络 地 址 转换 ,并 与 安全 标记 相 结 合 ,实现 地 址 转换 后 
的 标记 绑 定 。 


4. 网 络 审计 功能 模块 
提供 全 面 、 细 致 的 日 志 记 录 及 良好 的 日 志 分 析 能 力 ,支持 生成 审计 报表 ,确保 只 有 合 
适 的 管理 员 才 能 管理 审计 日 志 。 
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3.4.2 ”系统 实现 


1. 出 包 处 理 流程 

当 网 络 数据 包 经 过 防火 墙 外 出 时 ,首先 提取 访问 源 和 目的 安全 标记 ,然后 根据 安全 标 
记 判 断 本 次 访问 是 否 符 合 强制 访问 控制 策略 ,如 果 不 符 合 表示 是 非法 外 连 , 则 丢弃 数据 
包 。 如 果 符 合 策略 ,进行 是 否 需 要 SNAT 判断 , 若 不 需要 , 则 直接 发 送 ,否则 进行 网 络 地 
址 转换 后 发 送 。 

2. 入 包 处 理 流 程 

当 网 络 数据 包 经 过 防火 墙 接 入 时 ,首先 提取 访问 源 和 目的 安全 标记 ,若是 远程 接 入 用 
户 , 则 根据 用 户 的 安全 标记 ,判断 是 否 符合 接 人 控制 策略 , 若 不 符合 表示 本 次 访问 是 非法 
接 人 , 则 丢弃 数据 包 。 人 允许 接 人 则 进行 基于 源 、 目 的 安全 标识 的 强制 访问 控制 策略 判断 ， 
如 果 符 合 策略 ,就 进行 是 否 需要 NAT 判断 , 若 不 需要 , 则 直接 发 送 ,否则 进行 网 络 地 址 转 
换 后 发 送 。 


3. 审计 模块 工作 流程 

审计 模块 的 作用 是 依据 审计 策略 记录 数据 包 的 操作 行为 ,尤其 是 违背 系统 安全 策略 
的 行为 。 对 照 系统 的 审计 策略 ,确定 需要 对 什么 样 的 行为 进行 审计 ,需要 记录 相应 行为 的 
什么 信息 等 ,从 而 形成 审计 日 志 。 为 了 安全 管理 的 需要 ,防火 墙 的 安全 代理 程序 需要 定期 
地 将 本 地 的 审计 日 志 上 传 到 安全 管理 中 心 ,存放 到 审计 信息 库 中 。 


4. 主要 数据 结构 

有 以 下 五 种 : 

(1) 网 络 表 数 据 结构 ; 

(2) 端口 列表 数据 结构 ; 
(3) 地 址 表 数据 结构 ; 

(4) 包 过 滤 策 略 数据 结构 ; 
〈5) 审计 数据 结构 。 


安全 通信 网 络 子 系统 的 设计 和 实现 


3.5.1 系统 设计 


安全 通信 和 网络 子 系统 的 组 成 结构 主要 包含 过 滤 与 核心 总 控 模 块 、 安 全 隧道 处 理子 系 
统 、 自 主 访问 控制 子 系统 ,强制 访 问 控制 模块 、 基 于 用 户 的 审计 子 系 统 、 安 全 管理 代理 、 认 
证 代理 以 及 维护 的 安全 数据 库 等 组 成 部 件 ,其 组 成 结构 如 图 3-8 所 示 。 

中 过 滤 与 核心 总 控 模 块 : 对 经 过 VPN 安全 网 关 的 数据 流 进 行 过 滤 ,根据 外 出 和 进 
人 分 别 进 行 相应 地 处 理 调 度 。 
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防火 墙 包 过 滤 


湾 
让 


网 络 地 址 翻译 


图 3-8 安全 VPN 安全 网 关 组 成 结构 


@ 安全 隧道 处 理子 系统 : 由 动态 隧道 协商 模块 、 安 全 隧道 处 理 模 块 、 高 速 密码 处 理 
模块 等 组 成 。 对 于 需要 实施 VPN 隧道 保护 的 信息 流 , 从 SAD 检索 保护 该 信息 流 的 隧道 
安全 参数 等 信息 ,调用 高 速 密码 处 理 模块 ,实施 一 体 化 的 加 解密 \ 认 证 等 快速 密码 处 理 , 并 
进行 封装 等 具体 的 安全 隧道 处 理 操作 。 

@ 自主 访问 控制 子 系统 : 包括 防火 墙 包 过 滤 、NAT 以 及 轨迹 跟踪 模块 。 防 火 墙 包 
过 滤 与 NAT 的 实现 均 建 立 在 对 数据 报 文 的 轨迹 跟踪 上 ,达到 基于 状态 包 检 测 的 数据 包 
过 滤 功 能 ,以 及 网 络 地 址 转换 功能 。 

@ 强制 访问 控制 模块 : 通过 提取 数据 流 中 的 安全 标记 以 及 查询 管理 信息 库 得 到 主 
客体 的 安全 级 和 范畴 集 ,通过 对 主客 体 的 安全 级 和 范畴 集 进行 比较 实施 访问 请 求 的 合法 
性 判断 。 

安全 审计 子 系统 : 根据 安全 审计 策略 ,对 正常 网 络 信息 流 及 处 理 情况 按 用 户 和 地 
让 进行 审计 ,对 违规 事件 、 网 关 运 行 状态 和 管理 情况 进行 审计 并 分 类 存储 。 

@ 管理 代理 模块 : 是 边界 强制 访问 控制 系统 与 安全 管理 系统 进行 交互 的 唯一 接口 。 
其 具体 功能 包括 安全 策略 管理 隧道 管 理 、 审 计 管 理 , 安 全 标记 管理 以 及 网 络 实体 对 象 管 
理 等 。 

@ 认证 代理 模块 : 主要 用 于 在 网 关 启 动 里 完成 网 关 的 认证 和 动态 隧道 建立 过 程 中 
动态 隧道 的 协商 。 

安全 数据 库 : 包括 安全 策略 数据 库 、 安 全 关联 数据 库 、 安 全 标记 数据 库 、 管 理 信息 
库 以 及 安全 审计 数据 库 等 组 成 部 分 。 

安全 VPN 安全 网 关 作 为 信息 安全 综合 设备 ,具有 边界 防护 、 安 全 互联 \ 信 息 加 密 、 访 
问 控制 等 功能 。 在 三 级 平台 下 它 应 该 达到 的 主要 安全 指标 包括 以 下 几 项 。 

@ 安全 标记 功能 : VPN 安全 网 关 负 责 对 整个 信息 系统 中 的 主体 与 客体 进行 安全 标 
记 。 对 接 人 内 网 的 用 户 或 发 起 连接 的 源 地 址 进行 安全 标记 绑 定 , 对 网 关 所 保护 的 资源 (如 
内 网 的 Web 服务 等 ) 进 行 安 全 标记 ,为 基于 用 户 安全 标记 级 别 的 强制 接 人 控制 和 基于 网 
络 数据 流 的 边界 强制 访问 控制 打下 基础 。 
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@ 基于 网 络 数据 流 的 边界 强制 访问 控制 : VPN 安全 网 关 对 负载 访问 请 求 的 数据 流 
实施 基于 安全 标记 的 强制 访问 控制 。 网 关 从 负载 访问 请 求 的 数据 流 中 提取 出 访问 主体 的 
安全 级 ,与 其 所 请 求 的 目标 资源 安全 级 进行 比较 ,根据 预先 设置 的 强制 访问 控制 策略 实施 
基于 主客 体 标识 的 边界 强制 访问 控制 ,从 而 保证 信息 系统 的 机 密 性 不 受 破坏 。 

@ 基于 用 户 的 强制 接 人 控制 : VPN 安全 网 关 根据 预先 设置 的 强制 访问 控制 策略 , 通 
过 用 户 的 安全 级 为 其 分 配 相应 的 访问 权限 ,通过 对 流 人 网 关 的 数据 流 进行 标记 提取 、 权 限 
判断 等 操作 对 发 起 连接 的 用 户 实施 基于 安全 标记 级 别 的 强制 接 和 控制 ,从 而 保证 对 违规 
用 户 的 接 人 行为 进行 安全 防范 。 

@ 基于 用 户 的 安全 审计 : VPN 安全 网 关 对 出 人 网 关 的 网 络 连接 实施 基于 用 户 的 行 
为 跟踪 ,从 而 实现 对 整个 信息 系统 中 所 有 违规 操作 的 安全 审计 ,并 能 阻止 非 审计 管理 员 用 
户 对 审计 信息 的 访问 或 任何 破坏 审计 信息 完整 性 的 违规 操作 。 

图 身份 鉴别 : 三 级 网 络 边界 安全 防护 体系 应 提供 基于 可 信 硬 件 设 备 的 安全 身份 鉴 
别 机 制 ,VPN 安全 网 关 对 于 安全 接 人 的 移动 用 户 进行 基于 数字 证 书 的 身份 鉴别 ,以 保证 
接 人 用 户 的 合法 性 和 可 信任 性 。 

@ 数据 机 密 性 和 完整 性 防护 : VPN 安全 网 关 对 数据 源 进行 完整 性 校 验 ,通过 加 密 机 
制 和 隧道 机 制 对 所 保护 的 数据 进行 机 密 性 保护 和 有 限 的 数据 流 机 密 性 保护 ,从 而 保证 业 
务 数据 流 在 网 络 边 界 的 安全 传输 。 

@ 分 域 防 控 : 根据 信息 系统 中 的 数据 功能 类 型 和 敏感 程度 划分 为 不 同 的 区 域 ,通过 
VPN 安全 网 关 的 不 同 接口 进行 物理 隔离 ,对 不 同 的 安全 区 域 实施 基于 敏感 级 的 访问 
控制 。 

@ 基于 网 络 对 象 的 安全 管理 : 网 络 实体 包括 用 户 、 地 址 、 子 网 、 服 务 、 接 口 等 ,在 网 络 
实体 管理 中 引信 对 象 的 概念 ,用 以 标识 具有 相同 安全 特征 值 的 网 络 实体 。 对 网 络 中 的 网 
络 实体 进行 基于 对 象 的 安全 分 组 分 类 管理 。 提 高 边界 访问 控制 系统 中 策略 设置 的 易 懂 
性 ,增强 用 户 使 用 的 透明 性 。 


3.5.2 ”系统 实现 


1. 出 包 处 理 流 程 

当 网 络 数据 包 经 过 网 关外 出 时 ,在 过 滤 与 核心 总 控 模 块 的 控制 协调 下 ,依次 流 经 强制 
访问 控制 模块 自主 访问 控制 子 系统 和 隧道 处 理子 系统 等 功能 部 件 并 进行 相应 的 处 理 操 
作 。 具 体 的 数据 包 处 理 流程 如 图 3-9 所 示 。 

@ 实施 强制 访问 控制 处 理 : 当 外 出 数据 包 流 经 安全 VPN 安全 网 关 并 经 过 过 滤 与 核 
心 总 控 模块 进行 流向 识别 后 进入 强制 访问 控制 处 理 模 块 。 强 制 访问 控制 模块 通过 检索 管 
理 信息 库 查找 数据 流 所 属 的 网 络 实体 ,根据 网 络 实体 的 对 象 名 查找 安全 标记 数据 库 ,得 到 
该 数据 流 主体 的 安全 标记 ,将 其 写 人 数据 流 并 发 送 至 自主 访问 控制 处 理子 系统 进行 下 一 
步 处 理 。 

@ 实施 自主 访问 控制 处 理 : 自主 访问 控制 子 系 统 对 接收 到 的 数据 流 识别 其 状态 信 
息 、IP 信息 、 端 口 信 息 等 特征 ,根据 自主 访问 控制 策略 判断 数据 流 是 否 允许 外 出 。 如 果 允 
许 该 数据 流 外 出 , 则 将 其 发 送 至 VPN 安全 隧道 子 系统 ;如 果 不 允 许 该 数据 流 外 出 , 则 将 


Ss 99 ss 


-第 3 章 三 级 信息 系统 安全 设计 和 实现 _ 


数据 包 丢 弃 。 如 果 人 允许 外 出 的 数据 流 所 对 应 的 自主 访问 控制 策略 为 NAT 策略 , 则 对 数 
据 流 进行 网 络 地 址 转换 ,然后 发 送 至 VPN 安全 隧道 处 理 。 


进入 网 关 
1 
强制 访问 
控制 处 理 
1 
进入 自主 
访问 控制 


1 
丢弃 > 


是 


网 络 地 址 
转换 


图 3-9 安全 VPN 安全 网 关 出 包工 作 流程 


@ 实施 VPN 安全 隧道 处 理 : 当 数 据 包 进入 VPN 安全 隧道 处 理子 系统 时 ,首先 通过 
检索 管理 信息 库 查 找到 数据 流 所 对 应 的 源 和 目标 对 象 ,根据 对 象 与 策略 的 对 应 关系 查询 
SPD, 从 而 判断 数据 包 进 行 VPN 隧道 处 理 的 必要 性 。 对 于 不 需要 进行 VPN 隧道 处 理 的 
数据 包 专题 报道 发 送 ; 如 果 此 数据 包 需 要 进行 VPN 处 理 , 则 通过 查找 SAD 数据 库 获 取 
安全 隧道 参数 ,然后 在 安全 隧道 处 理 模 块 和 高 速 密 码 处 理 模 块 中 对 数据 流 进行 封装 、 加 密 
与 认证 处 理 ,通过 所 建立 的 安全 隧道 发 送 。 


2. 入 包 处 理 流程 

当 网 络 数据 包 从 外 网 经 过 网 关 进入 时 , 则 在 核心 和 过 滤 总 控 模 块 的 协调 下 ,依次 流 经 
隧道 处 理子 系统 .自主 访问 控制 子 系统 和 强制 访问 控制 模块 等 功能 部 件 并 进行 相应 的 处 
理 操作 。 具 体 的 数据 包 处 理 流程 如 图 3-10 所 示 。 

中 实施 VPN 安全 隧道 处 理 : 当 数据 包 达 到 网 关 时 ,首先 判断 此 数据 包 是 否 为 IPSec 
数据 包 。 如 果 该 数据 包 不 是 IPSec 数据 包 , 则 直接 发 送 至 自主 访问 控制 子 系统 ;如果 该 数 
据 包 是 IPSec 数据 包 , 则 进行 相应 的 IPSec 数据 包 处 理 流程 ,具体 的 处 理 过程 如 下 所 述 。 

首先 根据 IPSec 报头 信息 (spi、 目 标 地 址 等 ) 查 找 SAD 数据 库 。 对 于 找 不 到 相应 SA 
的 数据 包 实 施 丢弃 操作 ;如 果 找 到 对 应 的 SA 则 对 数据 包 进 行 解 封装 解密、 认证 等 处 理 
操作 。 然 后 对 解 封 装 后 的 数据 包 根 据 报头 信息 查找 管理 信息 库 , 得 到 数据 包 所 属 的 网 络 
实体 对 象 ,进而 根据 对 象 名 查找 安全 策略 数据 库 SPD, 如 果 找 到 的 安全 策略 不 为 VPN , 则 
丢弃 此 数据 包 , 如 果 安 全 策略 为 VPN, 则 允许 数据 包 进 入 自主 访问 控制 子 系统 。 

加 实施 自主 访问 控制 处 理 : 当 数 据 包 进入 自主 访问 控制 时 ,根据 数据 报头 信息 得 到 
此 数据 包 的 自主 访问 控制 策略 ,根据 自主 访问 控制 策略 确定 对 数据 包 的 下 一 步 操作 ,对 于 
策略 为 通过 或 丢弃 的 数据 包 进行 相应 操作 ;对 于 自主 访问 控制 策略 为 NAT 的 数据 包 , 则 
进行 网 络 地 址 转换 后 发 送 至 边界 强制 访问 控制 模块 。 
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.3.6 安全 管理 子 系统 的 设计 和 实现 
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图 3-10 安全 VPN 安全 网 关 入 包工 作 流程 


@ 实施 强制 访问 控制 : 强制 访问 控制 模块 根据 流入 的 数据 包 报头 信息 查找 管理 信 
息 库 ,得 到 其 所 对 应 的 对 象 名 , 据 此 检索 安全 标记 数据 库 , 得 到 目标 客体 的 安全 标记 ,并 与 
数据 包 携 带 的 安全 标记 进行 比较 ,如 果 满 足 强制 访问 控制 策略 的 要 求 ( 主 体 安全 级 宇 客体 
安全 级 , 且 主 体 范 畴 集 包含 客体 范畴 集 ) ,就 允许 请 求 数据 包 通 过 ,反之 ,人 允许 响应 数据 包 

3. 主要 数据 结构 

有 以 下 三 种 : 

(1) VPN 数据 结构 ; 

(2) 包 过 滤 策 略 数据 结构 

(3) 安全 标记 数据 结构 。 

4. 接口 设计 

在 IP-VPN 安全 网 关内 核 中 ,提供 了 通用 的 加 /解密 MAC 产生 和 认证 调用 接口 , 道 
过 该 接口 完成 对 专用 加 密 卡 的 驱动 ,为 隧道 的 加 /解密 、 完 整 性 认证 提供 服务 。 


_ 安全 管理 子 系统 的 设计 和 实现 


3.6.1 系统 设计 


安全 管理 子 系统 对 信息 系统 中 的 终端 节点 、 边 界 控制 .网 络 传输 安全 实施 集中 管理 ， 
a | O01 ss 


a | O02 sai 
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包括 管理 用 户 和 平台 身份 .标识 主 /客体 安全 等 级 和 范畴 、 制 定 自主 访问 控制 策略 、 等 级 改 
变 策略 、 可 信 接 人 人 策略、 系统 可 信 预 期 值 列表 等 ,为 三 级 信息 系统 的 安全 提供 了 基础 保障 。 
根据 对 三 级 标准 的 理解 ,面向 三 级 信息 系统 的 安全 管理 子 系统 应 提供 如 下 三 个 功能 。 
@ 能 够 为 主体 、 客 体 分 别 分 配 统一 安全 标记 (分 别 指定 安全 级 和 范畴 集 ), 并 将 主体 、 
客体 及 其 安全 标记 进行 统一 安全 管理 ,可 以 根据 相应 的 等 级 改变 策略 对 实体 的 标记 进行 
相应 修正 ,使 强制 访问 控制 更 易于 实施 。 
@ 参照 用 户 信息 和 资源 信息 ,为 用 户 授予 访问 资源 


的 权限 ,形成 自主 访问 控制 列表 。 
@ 制定 安全 策略 ,包括 自主 访问 控制 策略 、 等 级 改变 授权 | | 安全 | | 策略 
管理 标记 管理 
策略 等 。 模块 | | 管理 | | 模块 
三 级 安全 管理 子 系统 主要 由 安全 标记 管理 模块 、 策 模块 
略 管 理 模 块 .授权 管 理 模 块 组 成 ,如 图 3-11 所 示 。 3-11 ”安全 管理 子 系统 的 组 成 
3.6.2 ”系统 实现 


1. 安全 标记 管理 模块 的 工作 流程 

主体 通过 认证 后 ,安全 标记 管理 模块 根据 主体 的 权限 和 角色 确定 主体 的 安全 标记 , 生 
成 全 局 主体 标记 列表 , 同时 根据 客体 的 重要 程度 ,确定 所 有 客体 的 安全 标记 ,生成 全 局 标 
记 列 表 ,建立 安全 标记 数据 库 和 信息 数据 库 。 如 果 根 据 需要 要 永久 改变 客体 的 安全 标记 
时 ,可 以 根据 相应 的 等 级 改变 策略 对 实体 的 安全 标记 进行 相应 修正 。 


2. 策略 管理 模块 的 工作 流程 

策略 管理 模块 根据 安全 需要 制定 自主 访问 控制 策略 、 等 级 改变 策略 、. 可 信 接 人 策略 
等 ,并 进行 策略 的 维护 工作 ,包括 修改 .更 新 和 撤销 策略 等 。 只 有 安全 管理 员 才 可 以 对 策 
略 进行 操作 。 

3. 主要 数据 结构 

包括 以 下 两 种 : 

(1) 安全 标记 数据 结构 ; 

(2) 客体 临时 安全 标记 数据 结构 。 


”审计 子 系统 的 设计 和 实现 


3.7.1 系统 设计 


根据 对 三 级 标准 的 理解 ,面向 三 级 信息 系统 的 安全 审计 子 系统 应 提供 如 下 几 个 安全 
机 制 和 功能 。 


1. 强制 访问 控制 审计 
实现 系统 、 应 用 、 网 络 边界 强制 访问 控制 审计 数据 的 汇总 。 


3.7 审计 也 系统 的 设计 和 实现 


2. 网 络 数 据 流 审计 

对 网 络 通 信 进 行 全 面 监 测 记录 ,提供 对 不 同 网 络 协议 、 网 络 应 用 程序 的 运行 记录 , 实 
现 对 网 络 行为 的 重 放 功 能 。 

3. 系统 操作 审计 

对 网 络 系统 中 的 主机 进行 全 面 监测 ,监测 内 容 主 要 包括 主机 运行 过 程 中 的 安全 事件 
如 操作 系统 本 身 事件 、 用 户 行为 .文件 操作 等 记录 。 


4. 审计 日 志 分 析 功 能 
安全 审计 应 可 以 根据 记录 数据 进行 分 析 , 提 供 对 网 络 及 主机 运行 状况 的 预测 ,对 潜在 
用 户 异 常 行为 及 网 络 攻 击 事件 进行 预警 ,并 生成 审计 报表 。 


5. 审计 日 志保 护 
安全 审计 提供 基于 角色 的 访问 控制 机 制 , 以 保证 安全 审计 记录 不 会 受到 未 预期 的 删 
除 、 修 改 或 覆盖 等 。 


6. 告警 

安全 审计 提供 系统 审计 记录 的 分 类 分 级 ,对 特定 事件 提供 邮件 声音、 文本 等 可 定制 
方式 的 实时 报警 。 

三 级 安全 审计 系统 采用 控制 台 / 服 务 器 /代理 (Client/Server/ Agent) 三 级 架构 ,主要 
由 管理 控制 台 、 审 计 服务 器 和 审计 代理 三 部 分 组 成 。 


3.7.2 ”系统 实现 


三 级 安全 审计 子 系统 实现 对 所 辖 系统 中 各 应 用 系统 安全 事件 的 采集 .存储 与 管理 ,为 
安全 事件 取证 及 安全 管理 人 员 决 策 提 供 支持 。 三 级 安全 审计 系统 的 详细 工作 流程 如 
图 3-12 所 示 。 


1 1 
Ts | 三 级 安全 审计 让 | 
| 上 | 配置 | 最 务 进 和 人 | | 
! 数据 库 】 | 
a 日 志 操作 | 控 
访问 控制 | [| 
二 ad . 
= = 0 审计 事件 一 
网 络 通信 人 "| 三 级 安 至 审 数据 操作 | 
计算 环境 | 计数 据 库 数据 维护 
1 
审计 代理 。 | 三 级 安全 审计 服务 器 | 客户 端 
le 一 这 


图 3-12 三 级 安全 审计 系统 工作 流程 


其 详细 工作 流程 如 下 所 述 。 
@ 由 强制 访问 控制 子 系统 产生 相关 的 访问 控制 审计 数据 ,根据 三 级 安全 审计 服务 器 
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发 布 的 数据 采集 策略 ,将 审计 日 志 数据 写 人 服务 器 端的 数据 库 中 ;基于 主机 的 审计 代理 采 
集 主机 运行 日 志 发 送 至 服务 器 。 

@ 三 级 安全 审计 服务 器 通过 与 安全 事件 审计 数据 库 进 行 交互 ,实现 三 级 安全 审计 数 
据 的 查询 、 统 计 及 备份 恢复 等 操作 ;通过 审计 数据 分 析 , 得 到 三 级 审计 主体 可 能 的 异常 访 
问 趋 势 ,并 提供 异常 报警 信息 ;根据 控制 台 的 指令 实现 数据 的 备份 与 恢复 。 

@ 安全 事件 审计 服务 器 根据 运行 配置 数据 库 的 配置 信息 ,实现 与 数据 库 的 连接 , 保 
证 系统 正常 稳定 运行 。 

图 安全 事件 审计 服务 器 记录 本 系统 产生 的 各 项 操作 日 志 , 并 将 数据 存储 至 运行 日 志 
数据 库 ,根据 控制 台 的 指令 实现 对 本 系统 日 志 的 查看 与 管理 功能 。 

@@ 用 户 通过 控制 台 发 布 操作 指令 ,安全 事件 审计 服务 器 执行 指令 并 将 执行 结果 返回 
给 控制 台 


1. 主要 数据 结构 

它 有 以 下 两 部 分 : 

(1) 审计 数据 结构 ， 
(2) 系统 日 志 数 据 结构 。 


2. 异常 行为 模式 数据 结构 

由 于 系统 涉及 用 户 较 多 ,因此 用 户 行为 模式 也 各 不 相同 。 如 果 对 采集 到 的 大 量 安 
全 审计 数据 不 进行 有 效 地 统计 和 分 析 , 就 很 难 发 现 系 统 运行 时 用 户 的 正常 行为 模式 ， 
无 法 判断 当前 用 户 行为 是 否 偏 离 正 常 模式 ,从 而 无 法 对 用 户 异常 行为 作出 检测 和 及 时 
响应 。 

数据 挖掘 的 用 户 行为 模式 提取 技术 能 够 对 海量 安全 事件 审计 数据 进行 探索 ,对 审计 
数据 进行 关联 分 析 和 处 理 。 关 联 规则 能 够 有 效 地 挖掘 出 审计 数据 集中 不 同属 性 字段 之 间 
的 联系 ;序列 模式 挖掘 则 可 以 发 现 用 户 在 时 间 序 列 上 频繁 出 现 的 操作 模式 。 

3. 接口 设计 

三 级 审计 数据 采集 主要 包括 各 安全 应 用 系统 (强制 安全 访问 控制 子 系统 、 区 域 边界 安 
全 子 系统 等 ) 审 计数 据 采 集 。 

(1) 模块 功能 及 组 成 

在 部 署 时 各 应 用 系统 配置 采集 接口 ,各 安全 应 用 系统 生成 审计 数据 后 直接 读 取 三 级 
安全 审计 数据 采集 接口 ,通过 该 接口 将 数据 写 人 三 级 安全 审计 服务 库 。 主 要 功能 模块 如 
下 所 述 。 

@ 审计 数据 采集 策略 配置 : 各 应 用 系统 中 的 采集 代理 应 先 读 取 来 自 服务 器 端的 审 
计数 据 采 集 策略 ,判断 是 否 将 所 有 审计 数据 都 发 送 至 三 级 安全 审计 服务 器 ;如 无 该 策略 ， 
则 按照 系统 默认 的 采集 策略 执行 ;该 配置 过 程 可 由 服务 器 端 或 代理 端 完成 。 

@ 通信 配置 : 三 级 安全 审计 代理 需要 对 网 络 通信 进行 运行 配置 ,主要 是 审计 数据 库 
IP 地 址 、 密 码 等 的 配置 。 

@ 服务 运行 管理 : 审计 代理 应 保持 稳定 持续 运行 ,根据 需要 在 代理 端 设 定 管理 员 以 
进行 服务 重启 暂停 或 停止 操作 。 


si | O04 ss: 


3.8 并 型 应 用 于 系统 设计 和 实现 


(2) 处 理 流 程 

三 级 审计 代理 工作 时 ,判断 当前 应 用 系统 (强制 访问 控制 .区 域 边界 安全 等 子 系统 ) 是 
否 产生 主体 访问 异常 事件 ,生成 相应 的 审计 数据 ;根据 采集 策略 将 相应 的 安全 审计 数据 发 
送 至 三 级 安全 审计 数据 库 。 

(3) 主要 类 函数 

完成 三 级 安全 审计 代理 功能 主要 的 类 及 函数 见 表 3-1 。 


表 3-1 主要 类 及 函数 列表 


类 函数 名 功 能 

OnAdd 将 审计 数据 采集 策略 写 人 代理 端 配置 文件 
CPolicyAdd 

OnRead 读 取 策 略 文件 (选择 来 自 服务 器 或 代理 配置 ) 
CCommuConf AddDBConf 添加 数据 库 连 接 配 置 

Pause 数据 采集 服务 暂停 

Restart 数据 采集 服务 重启 
CServManage 

Stop 数据 采集 服务 停止 

Start 数据 采集 服务 开始 


典型 应 用 子 系统 的 设计 和 实现 


OA 办 公 系 统 实现 工作 计划 管理 、 公 文 管理 ,车辆 管理 .新 闻 管理 .个 人 事务 、 信 息 交 
流 等 训练 管理 办 公 业 务 的 网 络 化 自动 化 .数字 化 ,从 而 提高 训练 管理 日 常 办 公 效率 和 
质量 。 


3.8.1 系统 设计 


OA 办 公 系 统 如 图 3-13 所 示 , 主 要 包括 : 工作 计划 、 公 文 管理 ,车 辆 管理 ,个 人 事务 、 
电子 邮件 、 信 息 交 流 和 办 公平 台 。 每 个 功能 模块 及 其 下 的 子 模块 均 可 通过 用 户 权限 进行 
灵活 配置 。 在 子 模块 中 的 具体 操作 权限 也 可 通过 角色 进行 严格 定义 。 


OA 办 公 系 统 


斗 


:| 


卒 可 小 区 
ES 


下 攻守 


并 芍 壤 共 
次 粗 入 候 


二 
潜 器 冷 依 


3-13 ”系统 总 体 模 块 
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1. 工作 计划 

工作 计划 模块 实现 训练 部 及 各 处 室 每 周 、 每 月 工作 计划 的 制定 .呈报 和 审查 等 功能 。 
工作 计划 管理 模块 包括 处 周 工 作 计 划 、 处 月 工作 要 点 、 查 收 周 工作 计划 、 查 收 处 月 工作 要 
点 、 部 周 工作 计划 和 部 教学 活动 一 览 表 六 个 子 模块 。 

(1) 处 周 工作 计划 

Q@ 编写 处 周 工作 计划 : 完成 本 周 工作 完成 情况 和 下 周 工作 计划 的 录入 功能 。 

加 生成 Word 文 档 : 将 录入 的 本 周 工作 完成 情况 和 下 周 工作 计划 的 内 容 自 动 转换 为 
Word 格式 。 

@ 呈报 处 周 工作 计划 : 将 本 周 工 作 完成 情况 和 下 周 工作 计划 呈报 给 训练 部 。 

(2) 处 月 工作 要 点 

@D 上 上传/ 下载 处 月 工作 要 点 : 完成 处 月 工作 要 点 上 传 或 下 载 的 功能 。 

@ 呈报 处 月 工作 要 点 : 完成 处 月 工作 要 点 向 部 里 呈报 的 功能 。 

(3) 查收 周 工 作 计 划 

为 部 里 提供 查看 、 接 收 和 审批 各 处 室 周 工作 计划 的 功能 。 

(4) 查收 月 工作 要 点 

为 部 里 提供 查看 、 接 收 和 审批 各 处 室 的 月 工作 要 点 。 

(5) 部 周 工作 计划 

@ 编写 部 周 工作 计划 : 完成 本 周 工作 完成 情况 和 下 周 工作 计划 的 录 人 功能 。 

@ 生成 Word 文档 : 将 录 人 的 本 周 工作 完成 情况 和 下 周 工作 计划 的 内 容 自 动 转换 为 
Word 格式 。 

(6) 部 教学 活动 一 览 表 

查看 各 处 室 一 周 的 教学 活动 情况 ,并 能 生成 部 教学 活动 一 览 表 。 


2. 公文 管理 
公文 管理 模块 实现 呈 批 件 、 通 知 的 录入 、Word 自动 生成 .报表 打印 、 文 档 上 传 /下 载 
等 功能 ,公文 管理 模块 包括 呈 批 件 管理 、 通 知 管理 和 文档 管理 三 个 子 模 块 。 


3. 车 辆 管理 

车 辆 管理 模块 主要 实现 车 辆 基本 信息 的 添加 、 修 改 和 删除 ,使 用 车 辆 申请 及 对 车 辆 申 
请 的 审批 ,当前 车 辆 状态 查看 功能 等 。 车 辆 管理 模块 包括 车 辆 信息 设置 .出 车 申请 和 车 辆 
管理 三 个 子 模块 。 


4. 个 人 事务 
个 人 事务 主要 是 为 提高 领导 和 机 关 行 政 人 员 办 公 效 率 提供 的 辅助 手段 ,包括 日 程 安 
排 、 通 讯 录 、 发 布 信息 、 信 息 订 阅 、 网 址 收藏 和 个 性 化 设置 七 个 子 模块 。 


5. 电子 邮件 
为 用 户 之 间 发 送 和 接收 信息 提供 一 种 方便 的 、 快 捷 的 手段 。 电 子 邮 件 模 块 包括 我 的 
邮箱 、 写 邮件 、 收 件 箱 、 发 件 箱 、 草 稿 箱 、 垃 圾 箱 、 地 址 夭 和 个 人 设置 八 个 子 模块 。 
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3.8 .典型 应 用 子 系统 设计 和 突现. 


6. 信息 交流 
信息 交流 模块 为 用 户 提供 即时 通信 发布 信 息 、 提 出 看 法 、 聊 天 ,获得 帮助 讨论 问题 
及 为 别人 提供 信息 。 信 息 交 流 模 块 包 括 内 部 论坛 和 即时 通信 两 个 子 模块 。 


3.8.2 ”系统 实现 


1. 客体 的 标识 与 绑 定 

GB 17859 一 1999 规范 了 三 级 计算 机 信息 系统 应 具备 的 安全 和 保证 功能 ,而 安全 操作 
系统 作为 信息 系统 安全 的 核心 ,是 安全 应 用 平台 的 关键 支撑 部 件 , 因 此 其 所 具有 的 安全 功 
能 和 保证 功能 直接 影响 着 应 用 系统 的 安全 性 ,直接 决定 了 信息 系统 的 安全 强度 。 显 然 , 作 
为 三 级 Windows 操作 系统 , 它 也 必须 满足 GB 17859 一 1999 规定 的 安全 功能 要 求 和 保证 
要 求 。 

三 级 Windows 操作 系统 需 对 系统 中 的 客体 (进程 文件 等 ) 进 行 全 程 的 标记 ,确保 主 
客体 在 整个 生命 周期 中 其 标记 的 信息 都 是 准确 完整 一 致 的 。 同 时 ,标记 应 与 内 容 绑 定 , 保 
持 完 整 一 致 ,同时 保证 信息 不 能 被 算 改 。 


2. 强制 访问 控制 关键 技术 

当 对 客体 的 实体 加 标记 后 ,标记 应 由 TCB 管理 和 识别 验证 。 如 何 结合 TCB 管理 进 
行 标记 的 识别 与 验证 ,是 强制 访问 控制 裁决 模块 应 解决 的 关键 问题 。 其 主要 包括 以 下 
四 点 。 

Q@ 提出 应 用 封装 技术 ,实现 应 用 强制 访问 控制 与 应 用 流程 的 结合 。 

@ 以 Windows 和 Linux 为 主要 操作 系统 平台 进行 安全 增强 ,提高 强制 访问 控制 的 
适应 性 。 

@ 与 自主 访问 控制 相 结合 ,在 保证 原 二 级 功能 的 基础 上 ,进行 三 级 安全 增强 。 

@ 提出 应 用 级 强制 访问 控制 和 边界 强制 访问 控制 技术 ,使 强制 访问 控制 在 TCB 上 
向 网 络 、 计 算 环境 和 边界 防护 上 的 有 效 扩展 。 


3. 标记 的 安全 管理 

(1) 采用 标记 的 安全 管理 技术 ,实现 主体 与 客体 的 统一 安全 管理 

客体 的 安全 标记 支持 客体 实体 与 标记 的 绑 定 ,支持 客体 在 网 络 上 的 传输 。 如 何 将 客 
体 进行 安全 管理 ,支持 众多 网 络 用 户 的 安全 标记 管理 ,是 基于 标记 的 强制 访问 控制 应 解决 
的 关键 问题 。 

本 系统 中 建立 了 安全 管理 中 心 ,将 主体 客体 及 其 安全 标记 进行 统一 的 安全 管理 , 制 
定安 全 策略 ,使 强制 访问 控制 更 易于 实施 。 

(2) 提出 基于 标记 的 安全 审计 ,明确 用 户 的 操作 行为 及 相应 安全 机 制作 出 的 决策 
结果 

一 方面 ,在 安全 管理 中 心中 增加 安全 审计 模块 ,依据 安全 管理 中 心 制定 的 审计 策略 ， 
记录 平台 上 用 户 的 相应 操作 行为 ,尤其 是 用 户 违背 系统 安全 策略 的 行为 。 审 计 模 块 和 系 
统 中 的 其 他 安全 功能 子 模块 (如 标记 子 模块 .访问 控制 子 模块 或 身份 鉴别 子 模块 等 ) 进 行 
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通信 ,能 够 明确 用 户 的 操作 行为 及 相应 安全 机 制作 出 的 决策 结果 。 
另 一 方面 ,建立 三 级 审计 监控 中 心 ,与 安全 VPN 系统 、 三 级 授权 与 访问 控制 系统 相 
结合 ,记录 应 用 系统 和 网 络 的 安全 日 志 , 为 三 级 平台 的 事后 审计 追踪 提供 决策 依据 。 


4. 两 种 身份 认证 方式 

系统 中 的 用 户 首 先 要 到 认证 中 心 进 行 身 份 注册 ,由 认证 中 心 进 行 用 户 的 统一 管理 , 保 
证 用 户 身 份 的 真实 性 。 认 证 中 心 支持 口令 和 USB-KEY 两 种 身份 认证 方式 ,普通 用 户 使 
用 口令 认证 方式 ,进行 重要 操作 的 领导 和 管理 员 使 用 USB-KEY 强 认证 方式 ,只 有 通过 认 
证 的 用 户 才能 登录 应 用 系统 ,防止 身份 假冒 威胁 。 

5. 用 户 安全 标识 

按照 GB 17859 一 1999 的 要 求 , 为 用 户 分 配 安全 标识 。 

用 户 安全 标识 由 级 别 和 范畴 集 两 部 分 组 成 。 用 户 的 级 别 为 个 人 所 能 处 理 信 息 的 最 高 
级 别 ,范畴 集 为 用 户 的 部 门 和 岗位 。 

6. 资源 安全 标识 

由 授权 管理 系统 为 应 用 系统 的 功能 菜单 和 操作 分 配 安全 标识 ,安全 标识 由 级 别 和 范 
畴 集 两 部 分 组 成 。 级 别 为 资源 的 重要 程度 ,范畴 为 资源 可 被 使 用 的 范围 。 训 练 管理 信息 
系统 的 主要 资源 安全 标识 如 下 所 述 。 

(1) 工作 计划 管理 

工作 计划 管理 模块 的 安全 级 见 表 3-2 。 

表 3-2 工作 计划 管理 模块 安全 级 列表 


资 源 级 别 资 源 级 别 范畴 集 
工作 计划 管理 2 部 周 工作 计划 3 部 
处 周 工作 计划 2 部 月 工作 要 点 3 部 
处 月 工作 要 点 2 查收 部 周 工作 计划 3 部 、 查 收 
查收 处 周 工作 计划 2 查收 部 月 工作 要 点 3 部 、 查 收 
查收 处 月 工作 要 点 2 


(2) 公文 管理 模块 
公文 管理 模块 的 安全 级 见 表 3-3。 


表 3-3 公文 管理 模块 的 安全 级 列表 
范畴 集 


公文 管理 
旦 批件 管理 


(3) 车 辆 管理 模块 
车 辆 管理 模块 的 安全 级 见 表 3-4。 


si | 08 ss 


.8 站 型 太 用 于 委 统 设计 和 实现 


表 3-4 车 辆 管理 模块 的 安全 级 列表 


(4) 个 人 事务 模块 
个 人 事务 模块 的 安全 级 见 表 3-5 。 


表 3-5 个 人 事务 模块 的 安全 级 列表 


资 源 范畴 集 
个 人 事务 

日 程 安排 

通讯 录 个 性 化 设置 

发 布 信息 
(5) 电子 邮件 模块 
电子 邮件 模块 的 安全 级 见 表 3-6 。 

表 3-6 电子 邮件 模块 的 安全 级 列表 

资 源 级 别 资 源 级 别 范畴 集 
电子 邮件 1 草稿 箱 1 

我 的 邮箱 1 垃圾 箱 1 

写 邮件 1 地 址 短 1 

收 件 箱 1 个 人 设置 1 

发 件 箱 1 


(6) 信息 交流 模块 

模块 为 用 户 提供 即时 通信 人、 发布 信息 、 提 出 看 法 、 聊 天 、 获 得 帮助 .讨论 问题 及 为 别人 
提供 信息 。 信 息 交 流 模块 包括 两 个 子 模块 。 信 息 交 流 模块 的 安全 级 见 表 3-7。 

表 3-7 信息 交流 模块 的 安全 级 列表 

资 源 范畴 集 

信息 交流 

即时 通信 

内 部 论坛 


7. 强制 访问 控制 
应 用 系统 在 收 到 用 户 访问 请 求 时 ,根据 用 户 的 安全 标识 与 所 请 求 的 资源 标识 决定 是 
ss 109 sa 
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否 允 许 访问 。 若 用 户 的 安全 级 支配 资源 的 安全 级 则 允许 访问 。 如 军务 办 的 普通 用 户 ,其 
安全 级 为 1 ,范畴 集 为 “军务 ”, 根 据 强制 访问 控制 规则 ,可 以 访问 车 辆 管理 模块 以 及 车 辆 
信息 设置 二 级 资源 ,但 是 由 于 范畴 集中 没有 “ 科 长 ”的 范畴 , 则 无 法 访问 “ 派 车 管理 ?菜单 ， 
不 能 进行 派 车 。 军 务 办 科 长 的 范畴 集中 包含 “军务 ”和 “ 科 长 ”, 因 此 可 以 访问 “ 派 车 管理 ” 
进行 派 车 审批 。 

8. 应 用 授权 与 自主 访问 控制 

按照 用 户 在 系统 中 的 权限 ,对 应 用 系统 的 功能 菜单 和 操作 进行 授权 ,形成 访问 控制 列 
表 。 用 户 在 访问 应 用 系统 时 根据 应 用 访问 控制 列表 决定 用 户 的 访问 行为 是 否 能 够 进行 。 


9. 安全 传输 
使 用 VPN 系统 对 网 络 传输 数据 进行 保护 ,通过 IPSec 协议 和 密码 算法 对 传输 数据 实 
现 机 密 性 和 完整 性 保护 。 


10. 安全 存储 
使 用 安全 公文 包 实 现 个 人 终端 上 的 存储 保护 ,通过 安全 中 间 件 、 密 码 算法 和 USB 密 
码 钥匙 实现 用 户 透 明 的 数据 机 密 性 和 完整 性 保护 。 


11. 安全 审计 

按照 三 级 信息 系统 的 要 求 训 练 管理 信息 系统 ,除了 进行 通常 的 应 用 审计 以 外 ,还 要 求 
记录 与 强制 访问 控制 相关 的 用 户 访问 行为 和 结果 ,至 少 包括 用 户 名 、 用 户 安全 级 、 客 体 名 、 
客体 安全 级 、 访 问 结果 和 访问 时 间 等 , 若 访 问 被 拒绝 还 要 记录 拒绝 原因 。 并 且 要 将 强制 访 
问 控制 审计 记录 同步 到 三 级 审计 中 心 。 


_ 示范 环境 功能 使 用 操作 演示 


3.9.1 安全 计算 环境 子 系统 


安全 策略 的 制定 过 程 包 括 三 个 阶段 。 

四 初始 设置 阶段 : 首先 进行 安全 设计 , 即 系统 管理 员 收 集 全 系统 的 用 户 身 份 和 平台 
资源 信息 ,由 授权 机 构 依 据 该 信息 对 主客 体 的 安全 标记 以 及 访问 控制 规则 进行 设计 ,制定 
符合 系统 安全 的 策略 配置 ,安全 管理 员 将 上 述 信 息 导 入 到 管理 中 心 ;然后 构建 系统 TCB， 
即 安装 终端 节点 安全 操作 系统 、 设 置 区 域 边界 和 网 络 传输 设备 ,确保 系统 运行 时 能 够 从 安 
全 管理 中 心 下 载 策 略 ,保证 TCB 的 正常 工作 ;最 后 安装 应 用 系统 , 即 系统 管理 员 根 据 应 用 
需求 安装 应 用 系统 。 

@ 系统 测试 阶段 : 初始 设置 完成 后 ,系统 从 管理 中 心 下 载 策 略 , 进 人 试 运行 阶段 。 
但 由 于 预先 制定 的 策略 可 能 不 完善 ,或 者 存在 限制 过 严 的 情况 ,系统 需要 将 运行 情况 上 报 
管理 中 心 ,方便 安全 管理 员 人 参考 ,从 而 对 安全 策略 实施 调整 ,直至 系统 和 应 用 服务 正常 
运行 。 


@ 运行 服务 阶段 : 应 用 服务 开始 运行 ,TCB 依据 安全 策略 对 主体 行为 进行 访问 控 


.3.9 .示范 环境 功能 使 用 操作 演示 


制 , 安 全 管理 员 根 据 需 要 对 策略 进行 维护 和 更 新 。 


1. 初始 设置 阶段 

(1) 管理 员 账 号 管理 

账号 管理 员 依据 主体 标记 中 的 管理 员 类 型 信息 添加 安 管 平台 的 安全 管理 员 、 系 统管 
理 员 、 安 全 审计 员 账 号 。 打 开 “ 三 级 安全 应 用 平台 安全 管理 中 心 ” 页 面 ,选择 “账号 管理 ” 命 
令 , 在 弹出 的 页 面 的 文本 输入 管理 员 名 和 密码 (默认 为 “superadmin”, “admin”)。 

(2) 发 行 用 户 硬件 令 牌 ( 令 牌 发 行 操作 》 

发 KEY 操作 只 能 在 安全 管理 平台 所 在 的 机 器 上 进行 ,首先 将 要 发 的 KEY 插 在 安全 
管理 中 心 上 , 然 后 打开 安全 管理 中 心 ,使 用 系统 管理 员 登 录 安 全 管理 中 心 ,选择 操作 栏 中 
的 “用 户 管理 ”中 的 “下 发 令 牌 ”命令 ,发 行 KEY, 如 图 3-14 所 示 。 


3-14 “下 发 令 牌 ”操作 界面 


写 人 KEY 需要 一 定时 间 , 当 发 KEY 成 功 后 ,会 弹出 “发 KEY 成 功 ” 对 话 框 , 单 击 “ 确 
定 ? 按 钮 , 即 可 完成 发 KEY 操作 。 

(3) 系统 管理 员 进 行 初始 化 工作 

使 用 平台 注册 工具 获取 平台 硬件 标识 和 基本 信息 ,上 报到 系统 管理 平台 。 使 用 可 执 
行程 序 采 和 集 工具 生成 可 执行 程序 列表 ,上 报到 管理 平台 。 系 统管 理 员 登录 安 管 平台 ,依据 
策略 进行 如 下 管理 : 

@ 系统 文件 列表 管理 ; 

@ 可 执行 代码 预期 值 管理 ; 

@ 受 限 网 络 IP 管理 。 

(4) 安全 管理 员 制 定 策略 

安全 管理 员 登 录 安 管 平台 ,依据 系统 管理 员 提 供 的 配置 信息 以 及 十 个 策略 制定 参考 
表 中 的 内 容 ,实施 标记 和 授权 。 其 内 容 包 括 : 
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@ 范畴 关系 管理 ; 

@ 主体 标记 列表 管理 ; 

@ 客体 标记 列表 管理 ; 

@ 人 自主 访问 控制 策略 管理 ; 

加 级 别 调整 策略 管理 ; 

@ 系统 文件 实施 授权 ; 

@ 将 可 执行 程序 进行 授权 给 指定 平台 和 指定 用 户 ; 
对 非 IPSec 控制 平台 进行 授权 ; 

@ 终端 授权 用 户 管理 。 


2. 系统 测试 阶段 

@ 节点 .边界 和 应 用 防护 墙 启动 。 记 录 可 执行 程序 预期 值 和 文件 访问 操作 ,形成 策 
略 申请 包 上 报 安全 管理 中 心 。 

@ 系统 管理 员 可 执行 代码 预期 值 管 理 。 

@@ 安全 管理 员 可 执行 代码 预期 值 授权 。 安 全 管理 员 将 可 执行 程序 列表 中 的 合法 程 
序 执行 权限 授予 相应 的 用 户 。 

@ 自主 访问 控制 策略 。 将 文件 访问 操作 权限 授予 相应 用 户 , 加 入 自主 访问 控制 列 
表 , 单 击 在 左边 操作 栏 “策略 管理 ”下 的 “查看 策略 申请 ”命令 ,进入 策略 申请 管理 主 界面 。 

@ 安全 管理 员 将 平台 策略 控制 状态 设置 为 “运行 服务 ”后 ,系统 调试 阶段 完成 。 


3. 运行 服务 阶段 

@ 节点 启动 后 ,下 载 平台 已 经 有 用 户 相关 的 策略 ,所 有 安全 控制 模块 开启 ,开始 正常 
运行 ,并 进行 实时 审计 。 

@ 安全 管理 员 策 略 调整 。 安 全 管理 员 根 据 系统 运行 状态 以 及 授权 机 构 的 策略 修改 
信息 ,更 新 策略 并 实施 策略 更 新 。 

@ 审计 管理 。 安 全 管理 员 为 每 个 审计 类 型 设 定 事件 级 别 ,分 为 高 风险 、 中 风险 和 低 
风险 三 种 ,为 每 一 个 子 类 型 制定 审计 时 间 和 成 败 审 计 。 可 以 进行 审计 策略 的 修改 和 查询 。 


3.9.2 安全 区 域 边界 子 系统 


1. 主要 操作 界面 

管理 用 户 登 录 仅 采用 用 户 名 和 口令 方式 的 认证 。 用 户 名 : clf, 密 码 : 999999。 当 管 
理 用 户 登 录 后 ,出 现 首页 ,如 图 3-15 和 图 3-16 所 示 。 

网 关 设备 信息 : 设备 名 称 、 设 备 序列 导 、 软 件 版 本 号 、 运 行 时 间 、 系 统 时 间 ; 

接口 信息 : 接口 名 、IP 地 址 、MAC 地 址 、 连 接 状 态 、 工 作 状 态 、 接 收 速率 与 发 送 
速率 

系统 资源 : CPU 利用 率 、 内 存 占用 率 ; 

平台 信息 : 集中 管理 平台 、 审 计 管理 中 心 密 钥 管理 中 心 ; 

注 明 :“ 更 多 ”关联 网 络 管理 的 “接口 ”。 
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图 3-15 ”区域 边界 防护 管理 系统 用 户 登录 界面 


图 3-16 ”区 域 边 界 防护 管理 系统 首页 


2. 网 络 配置 

网 络 配置 下 拉 菜 单 的 内 容 有 : 接口 、 安 全 区 域 .路 由 信息 以 及 网 络 维护 ,如 图 3-17 
所 示 。 

3. 标记 管理 

标记 管理 是 实现 三 级 平台 下 VPN 系统 的 重要 基础 。 其 功能 包括 : 安全 级 管理 、 用 户 
管理 .地 址 对 象 管理 和 服务 对 象 管理 ,如 图 3-18 所 示 。 
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3-17 ”网络 配 置 界面 


3-18 ”标记 管理 界面 


4. 区 域 边界 防护 
区 域 边界 防护 主要 包括 防火 墙 包 过 滤 策 略 管理 与 NAT 策略 管理 ,如 图 3-19 所 示 。 


5. 网 络 审计 


网 络 审计 管理 ,主要 是 基于 用 户 的 审计 。 考 虑 在 静态 隧道 下 ,是 否 可 以 是 基于 对 象 的 
审计 ,只 需要 Web 对 这 类 审计 会 显示 、 查 找 数据 库 判 断 IP 地 址 或 者 子 网 属于 哪个 对 象 并 
转换 即 可 。 主 要 包括 刷新 审计 和 审计 的 查询 ,如 图 3-20 所 示 。 

当选 择 某 一 个 查询 方式 时 ,其 他 方式 对 应 的 信息 框 变 成 灰色 , 单 击 “ 查 询 ” 按 钮 (注意 


在 输入 查询 条 件 时 ,要 和 提示 的 一 致 。 如 时 间 一 定 要 是 yyyy-mm-dd, 地 址 节点 一 定 是 : 
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xx#x, xxx, xxx, xxxs 并 目 必须 既 有 源 地址 也 要 有 目标 地 址 )。 删 除 审计 信息 , 则 在 单 击 “ 删 
除 ?按钮 后 会 完全 删除 数据 库 中 的 审计 信息 。 


图 3-19 ”区域 边界 防护 界面 


图 3-20 网络 审计 管理 界面 


3.9.3 安全 通信 网 络 子 系统 


1. 主要 操作 界面 
管理 用 户 登 录 仅 采用 用 户 名 和 口令 方式 的 认证 。 用 户 名 : elf, 密码 ，999999, 如 
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图 3-21 所 示 。 


图 3-21 网 络 安全 通信 管理 系统 用 户 登 录 界 面 
当 管 理 用 户 登录 后 ,会 出 现 首页 ,如 图 3-22 所 示 。 


图 3-22 网络 安全 通信 管理 系统 首页 


2. 网 络 配置 
网 络 配置 ,包括 的 下 拉 菜 单 内 容 有 接口 .安全 区 域 . 路 由 信息 以 及 网 络 维护 , 如 
图 3-23 所 示 。 
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3-23 ”网 络 配 兽 界 面 


3. 地 址 对 象 管理 
地 址 对 象 管理 包括 地 址 节点 与 地 址 组 的 管理 , 主要 是 解决 单个 地 址 节点 . 子 网 节点 和 
地 址 组 等 对 象 的 管理 ,如 图 3-24 所 示 。 


图 3-24 地 址 对 象 管理 界面 


单 击 动作 栏 中 的 “修改 ”或 “添加 ”按钮 ,可 以 对 现 有 的 级 别 进行 修改 或 删除 , 单 击 “ 修 
改 ” 按 钮 弹出 修改 对 话 框 ,如 图 3-25 所 示 。 

自 定义 服务 为 管理 根据 具体 情况 定义 的 服务 对 象 。 例 如 ,车 购 税 系统 TCP: 7777。 
主 界面 如 图 3-26 所 示 。 


上 


图 3-25 ”修改 对 话 框 


图 3-26 自 定 义 服务 主 界面 


4. 网 络 安全 通信 

安全 隧道 分 为 静态 与 动态 安全 隧道 。 静 态 隧道 是 针对 VPN 设备 地 址 确定 的 情况 ， 
而 动态 隧道 则 是 VPN 设备 地 址 不 确定 的 情况 。 安 全 隧道 配置 列表 显示 界面 如 图 3-27 
所 示 。 
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3-27 安全 隧道 配置 列表 显示 界面 


单 击 “ 修 改 ” 按 钮 ,进入 安全 隧道 配置 界面 ,安全 隧道 配置 包括 安全 隧道 类 型 (动态 、 静 
态 )、 隧 道 号 .封装 类 型 (IPSec、.NAT 穿越 .UDP 封装 ) 、 本 机 设备 名 、 本 机 设备 全 地 址 、 远 
端 设备 名 、 远 端 设备 IP 地 址 (静态 )、 算 法 号 、 密 钥 ( 静 态 )。 

以 主体 、 客 体 的 形式 定义 策略 。VPN 安全 策略 管理 主 界面 如 图 3-28 所 示 。 


图 3-28 VPN 安全 策略 管理 主 界面 


5. 网 络 审 计 

网 络 审计 管理 , 主要 是 基于 用 户 的 审计 。 考 虑 在 静态 隧道 下 ,是 否 可 以 是 基于 对 象 的 
审计 ,只 需要 Web 对 这 类 审计 会 显示 ,查找 数据 库 判 断 IP 地 址 或 者 子 网 属于 哪个 对 象 并 
转换 即 可 。 主 要 包括 刷新 审计 和 审计 查询 。 
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刷新 审计 : 用 户 名 /对 象 名 、 时 间 、VPN 号 、 隧 道 号 、 源 地 址 、 目 标 地 址 、 协 议 、 策 略 、 审 
计 原 因 。 

审计 查询 : 用 户 名 /对 象 名 、 时 间 和 地 址 (三 种 查询 方式 )。 审 计 查 询 界 面 如 图 3-29 
所 示 。 


nin 登录 时 | 2008-10-16 1017 


图 3-29 安全 审计 系统 主 界面 


3.9.4 安全 审计 子 系统 


1. 系统 主 界面 

系统 主 界面 如 图 3-29 所 示 。 

系统 主 界面 中 ,上 方 为 菜单 项 ,主要 是 系统 级 功能 ,如 系统 配置 .用 户 管理 等 ;左边 为 
系统 树 形 目录 ,显示 已 有 的 业务 系统 ;右边 为 系统 功能 主 界面 ;下 边 显示 当前 登录 用 户 及 
登录 时 间 。 


2. 数据 查询 
在 右边 单 击 “ 数 据 查 询 ” 按 钮 ,将 显示 数据 查询 主 界面 。 它 提供 两 种 查询 方式 即 模糊 
查询 和 组 合 查询 ,模糊 查询 只 需要 输入 事件 主体 关键 字 部 分 内 容 即 可 ,如 图 3-30 所 示 。 


3. 图 形 统计 

图 形 统计 以 直观 形式 显示 数据 。 统 计 方 式 分 两 类 ,一 类 为 可 选 事件 , 即 以 事件 发 生 时 
间 为 条 件 统计 ,一 类 为 全 部 事件 ;图 形 类 型 为 柱状 、 饼 状 两 种 ;详细 的 统计 条 件 为 事件 节 
点 、 类 型 .主体 及 事件 是 否 成 功 四 类 ,如 图 3-31 所 示 。 
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图 3-30 数据 查询 主 界面 


4. 异常 报警 

异常 报警 是 对 所 有 安全 审计 事件 进行 简单 异常 分 析 , 主要 是 对 各 业务 系统 中 用 户 异 
常 操作 进行 判断 统计, 提供 异常 信息 。 

异常 分 析 是 针对 已 选择 节点 、 相 应 的 事件 类 型 及 发 生 时 间 段 ,根据 已 定制 的 报警 策 
略 , 对 已 有 数据 进行 统计 并 报警 。 

异常 分 析 报 警 策略 需要 事先 定义 。 针 对 所 有 事件 类 型 ,用 户 可 定义 相应 的 异常 报警 
信息 及 级 别 。“ 报 警 规则 设置 界面 如 图 3-32 所 示 。 


5. 用 户 管理 

用 户 管理 进行 简单 的 身份 鉴别 ,可 建立 两 类 用 户 : 普通 用 户 及 管理 员 。 普 道 用 
户主 要 进行 数据 查询 等 操作 ,管理 员 可 查看 报警 信息 及 用 户 添加 删除 数据 删除 等 
操作 。 


3.9.5 典型 应 用 子 系统 


1. 工作 计划 

@ 新 建 处 周 工作 计划 基本 信息 ,并 进一步 填写 本 周 完成 情况 的 基本 信息 ,如 图 3-33 
所 示 。 

@ 添加 工作 任务 和 教学 活动 条 目 。 分 别 在 本 周 完成 情况 和 下 周 计 划 页 面 中 添加 工 
作 任务 和 教学 活动 条 目 。 单 击 “ 呈 报 ” 和 "生成 文档 ”按钮 进行 呈报 和 生成 文档 操作 ,如 
图 3-34 所 示 。 


图 3-31 图 形 统计 界面 


图 3-32 报警 规则 设置 界面 
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图 3-33 ”新 建 工作 计划 界面 


e009 入 外 这 二 必 x: 其 疝 部 前 由 说 讶 过 


图 3-34 添加 工作 任务 和 教学 条 目 界面 


@ 新 建 处 月 工作 要 点 。 填 写 基本 信息 ,浏览 本 地 文件 , 单 击 “ 保 存 ” 按 钮 将 在 本 地 主 
机 上 编写 好 的 月 工作 要 点 上 传 至 服务 器 ,如 图 3-35 所 示 。 


图 3-35 新建 处 月 工作 要 点 界面 
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图 查收 处 周 工作 计划 。 在 呈报 的 处 周 工作 计划 的 列表 中 , 单 击 相 应 的 周 次 ,进入 到 
一 篇 工作 计划 中 ,然后 单 击 列 表 中 相应 条 目的 “添加 ?按钮 ,将 处 本 周 完成 情况 的 条 目 添加 
到 相应 的 部 周 工作 计划 的 本 周 完成 情况 中 ,而 单 击 列表 中 相应 条 目的 “添加 重点 ”按钮 或 
“添加 日 常 ” 按 钮 ,分 别 将 处 下 周 计划 中 的 条 目 作为 重点 工作 或 日 常 工 作 添加 到 相应 周 次 
的 部 周 工作 计划 的 下 周 计划 中 。 单 击 “ 打 回 ” 按 钮 打 回 工作 计划 。 

@ 查收 月 工作 要 点 。 


2. 公文 管理 
(1) 呈 批 件 管理 


显示 用 户 所 具有 权限 查看 的 呈 批 件 , 可 以 对 它们 进行 下 载 和 删除 操作 ,如 图 3-36 
所 示 。 


图 3-36 呈 批 件 管理 主页 面 


填写 呈 批 件 信息 ,保存 后 可 生成 Word 文档 ,如 图 3-37 所 示 。 


图 3-37 生成 Word 文档 页 面 


(2) 通知 管理 
显示 用 户 所 具有 权限 查看 的 通知 ,可 以 对 它们 进行 下 载 和 删除 操作 ,如 图 3-38 所 示 。 
《3) 文档 管理 
在 文档 管理 页 面 , 单 击 “新 建 ”按钮 ,新 建文 件 夹 ; 单 击 “ 返 回 ” 按 钮 ,返回 上 一 级 目录 ; 
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单 击 文档 列表 中 的 “ 重 命名 ”按钮 ,进行 重 命名 ; 单 击 列表 中 的 “转发 ”按钮 ,进行 文档 的 转 
发 ; 单 击 “ 英 除 ” 按 钮 ,进行 文档 的 删除 ,如 图 3-39 所 示 。 


2 = 芭 


图 3-38 通知 管理 界面 


图 3-39 文档 管理 界面 


3. 车 辆 管理 

Q@ 车 辆 信息 查看 、 修 改 和 删除 。 

@ 出 车 申请 。 进 入 出 车 申请 模块 ,显示 当前 可 申请 的 车 辆 车 牌号 ,提示 用 户 填充 申 
请 车 辆 的 相关 信息 。 下 方 显示 当前 用 户 进行 车 辆 申请 的 相关 记录 信息 , 单 击 某 车 辆 的 “ 详 
细 ” 按 钮 ,可 看 到 该 车 辆 申请 的 详细 信息 。 

@ 派 车 管理 。 合 法 用 户 成 功 登 录 后 ,可 对 其 所 管辖 的 人 员 车 辆 申请 请 求 进行 审核 。 
通过 单 击 “ 批 准 ” 或 “不 批准 ”按钮 ,对 相应 的 车 辆 申请 进行 审核 ,如 图 3-40 所 示 。 


图 3-40 ”车辆 管理 界面 


四 级 信息 系统 的 安全 
设计 和 实现 


_ 安全 功能 和 总 体 结构 


4.1.1 安全 功能 


遵循 GB 17859 一 1999 的 要 求 ,基于 形式 化 的 安全 策略 模型 ,对 系统 内 的 所 有 主 、 客 
体 进行 标记 ,并 实现 强制 访问 控制 ;区 分 关键 的 安全 部 件 和 非 关 键 的 安全 部 件 , 明 确定 义 
部 件 之 间 的 接口 , 且 通 过 充分 的 测试 和 审核 ,体现 结构 化 ,通过 结构 化 保障 系统 的 安全 功 
能 有 效 。 


4.1.2 总体 结构 


根据 “一 个 中 心 ”管理 下 的 “三 重 保障 体系 ”框架 ,构建 安全 应 用 平台 ,形成 安全 保护 环 
境 系统 ,该 系统 分 为 如 下 四 个 部 分 : 计算 环境 、 区 域 边界 、 通 信和 网 络 和 安全 管理 中 心 。 其 
中 计算 环境 又 可 细 分 为 Windows 节点 子 系统 、Linux 节点 子 系统 和 典型 应 用 子 系统 ;而 
作为 整个 四 级 安全 应 用 平台 的 核心 ,安全 管理 中 心 又 可 细 分 为 安全 管理 子 系统 、 审 计 子 系 
统 和 系统 管理 子 系统 。 

各 子 系统 的 主要 功能 如 下 所 述 。 

(1) Windows 节点 子 系统 。 对 现 有 Windows 操作 系统 进行 安全 增强 ,增加 标记 、 强 
制 访问 控制 、 客 体重 用 、 可 信 路 径 等 安全 功能 ,增强 身份 鉴别 机 制 的 安全 性 ,实现 系统 连接 
交互 的 结构 化 ,使 其 部 分 满足 GB 17859 的 四 级 要 求 ,为 信息 系统 的 安全 提供 有 效 支撑 。 

(2) Linux 节点 子 系统 。 对 Linux 操作 系统 进行 结构 化 改造 和 安全 增强 ,增加 标记 、 
强制 访问 控制 、 客 体重 用、 可 信 路 径 等 安全 功能 ,增强 身份 鉴别 机 制 的 安全 性 ,明确 系统 核 
心 层 .系统 层 以 及 应 用 层 的 边界 ,对 各 层 之 间 的 信息 流 进行 安全 检查 ,确保 系统 安全 机 制 
始终 有 效 及 不 会 被 恶意 自 改 ,使 其 基本 满足 GB 17859 的 四 级 要 求 ,为 上 层 应 用 系统 的 安 
全 提供 足够 支撑 。 

(3) 区 域 边界 子 系统 。 对 流 和 人 或 流出 安全 保护 环境 的 信息 进行 安全 检查 ,增强 其 强 
制 访问 控制 功能 ,确保 安全 保护 环境 的 安全 性 不 会 受到 破坏 。 

(4) 通信 和 网络 子 系统 。 对 安全 保护 环境 间 的 信息 流 进行 封装 ,确保 信息 在 传输 过 程 
中 不 会 被 非 授 权 窃听 和 算 改 。 

(5) 安全 管理 子 系统 。 对 安全 保护 环境 中 的 计算 节点 、 区 域 边界 、 通 信和 网 络 、 系 统管 
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理 的 安全 机 制 实施 集中 管理 ,包括 标记 管理 、 授 权 管理 .策略 管理 等 ,为 四 级 信息 系统 的 安 
全 提供 基础 保障 。 

(6) 审计 子 系统 。 对 安全 保护 环境 中 的 计算 节点 、 区 域 边界 、 通 信和 网 络 、 安 全 管理 、 系 
统管 理 统一 实施 与 安全 相关 的 审计 管理 ,包括 制定 审计 策略 、 分 析 审 计 结 果 并 作 报 警 处 
理 , 为 判断 系统 安全 状态 及 应 急 处 理 提供 依据 。 

(7) 典型 应 用 子 系统 。 安 全 保护 环境 为 应 用 系统 (如 安全 网 站 应 用 等 ) 提 供 安全 支撑 
服务 。 遂 过 实施 四 级 安全 要 求 的 网 站 应 用 ,使 用 安全 保护 环境 所 提供 的 安全 机 制 ,为 应 用 
提供 符合 四 级 要 求 的 安全 功能 支持 和 安全 服务 。 

以 上 各 子 系统 之 间 的 逻辑 关系 如 图 4-1 所 示 。 

节点 子 系统 通过 在 操作 系统 核心 层 、 系 统 层 设置 以 强制 访问 控制 为 主体 的 系统 安全 
机 制 ,形成 了 一 个 严密 牢固 的 防护 层 ,通过 对 用 户 行 为 的 控制 ,可 以 有 效 防止 非 授权 用 户 
访问 和 授权 用 户 越权 访问 ,确保 信息 和 信息 系统 机 密 性 和 完整 性 的 安全 ,从 而 为 典型 应 用 
子 系统 的 正常 运行 和 免 遭 恶意 破坏 提供 支撑 和 保障 。 

区 域 边界 子 系统 通过 对 进入 和 流出 安全 保护 环境 的 信息 流 进行 安全 检查 ,确保 不 会 
有 违背 系统 安全 策略 的 信息 流 经 过 边界 , 它 是 四 级 信息 系统 的 第 二 道 安全 屏障 。 

道 信 网 络 子 系统 通过 对 通信 数据 包 的 机 密 性 和 完整 性 进行 保护 ,确保 其 在 传输 过 程 
中 不 会 被 非 授 权 窃听 和 自 改 ,使 得 数据 在 传输 过 程 中 的 安全 得 到 了 保障 ,是 四 级 信息 系统 
的 外 层 安 全 屏障 。 

安全 管理 子 系统 是 四 级 系统 的 控制 中 枢 , 主要 实施 标记 管理 .授权 管理 及 策略 管理 
等 。 安 全 管理 子 系统 通过 制定 相应 的 系统 安全 策略 ,并 且 强 制 节点 子 系统 、 区 域 边界 子 系 
统 、 通 信和 网 络 子 系统 的 执行 ,从 而 实现 了 对 整个 信息 系统 的 集中 管理 ,为 重要 信息 的 安全 
提供 了 有 力 保障 。 

审计 子 系统 是 系统 的 监督 中 枢 ,系统 审计 员 通 过 制定 审计 策略 ,强制 节点 子 系统 、 区 
域 边界 子 系统 、 遂 信 网 络 子 系统 、 安 全 管理 子 系统 、 系 统管 理子 系统 的 执行 ,从 而 实现 对 整 
个 信息 系统 的 行为 审计 ,确保 用 户 无 法 抵赖 违背 系统 安全 策略 的 行为 ,同时 为 应 急 处 理 提 
供 了 依据 。 

四 级 安全 应 用 平台 的 总 体 流 程 可 以 分 为 安全 管理 流程 与 访问 控制 流程 。 安 全 管理 流 
程 主要 由 安全 管理 中 心 的 安全 管理 员 、 系 统管 理 员 和 系统 审计 员 实 施 , 且 分 别 实施 系统 维 
护 、 安 全 策略 部 署 和 审计 策略 部 署 等 机 制 。 访 问 控制 流程 则 在 系统 运行 时 执行 ,实施 自主 
访问 控制 和 强制 访问 控制 等 机 制 。 


1. 策略 初始 化 流程 

节点 子 系统 在 运行 之 前 ,应 首先 由 安全 管理 员 、 系 统管 理 员 和 系统 审计 员 通 过 安全 管 
理 中 心 为 其 部 署 相 应 的 安全 策略 。 其 中 ,系统 管理 员 首 先 需 要 为 信息 系统 中 的 所 有 用 户 
实施 身份 管理 , 即 确定 所 有 用 户 的 身份 工作 密 钥 和 证 书 等 ,同时 需要 为 信息 系统 实施 资 
源 管理 , 即 确定 业务 系统 正常 运行 需要 使 用 的 执行 程序 等 。 安 全 管理 员 需 要 通过 安全 管 
理 中 心 为 信息 系统 中 所 有 主 /客体 实施 标记 管理 , 即 根据 业务 系统 的 需要 ,结合 客体 资源 
的 重要 程度 ,确定 其 安全 级 ,生成 全 局 客体 标记 列表 ,同时 根据 用 户 在 业务 系统 中 的 权限 
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和 角色 确定 其 安全 标记 ,生成 全 局 主体 标记 列表 。 在 此 基础 上 ,安全 管理 员 需 要 根据 系统 
需求 和 安全 状况 ,为 主体 实施 授权 管理 , 即 授予 用 户 访问 客体 资源 能 力 的 权限 ,生成 访问 
控制 列表 和 级 别 调整 检查 列表 。 除 此 之 外 ,系统 审计 员 需 要 通过 安全 管理 中 心中 的 审计 
子 系统 制定 系统 审计 策略 ,实施 系统 的 审核 管理 。 
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图 41 总 体 结构 流程 
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人 1 安全 功能 和 总 体 结构 


2. 计算 节点 启动 流程 

策略 初始 化 完成 后 ,授权 用 户 才 可 以 启动 并 使 用 计算 节点 访问 信息 系统 中 的 客体 资 
源 。 为 了 确保 计算 节点 的 系统 完整 性 ,节点 系统 在 启动 时 需要 对 所 装载 的 可 执行 代码 进 
行 可 信和 验证 ,确保 其 在 可 执行 代码 预期 值 列 表 中 ,并 且 程序 完整 性 没有 遭 到 破坏 。 计 算 节 
点 启动 后 ,用 户 便 可 以 安全 地 登录 系统 。 在 此 过 程 中 ,系统 首先 装载 代表 用 户 身 份 唯一 标 
识 的 硬件 令 牌 , 然 后 获取 其 中 的 用 户 信 息 ,进而 验证 登录 用 户 是 否 是 该 节点 上 的 授权 用 
户 。 如 果 检 查 通 过 ,系统 将 请 求 策略 服务 器 下 载 与 该 用 户 相关 的 系统 安全 策略 。 下 载 成 
功 后 ,系统 可 信 计 算 基 将 确定 执行 主体 的 数据 结构 ,并 初始 化 用 户 工作 空间 。 此 后 ,该 用 
户 便 可 以 通过 启动 应 用 访问 信息 系统 中 的 客体 资源 。 


3. 计算 节点 访问 控制 流程 

用 户 启 动 应 用 后 ,应 用 代表 用 户 发 出 访问 本 地 或 网 络 资源 的 请 求 ,该 请 求 将 被 操作 系统 
访问 控制 模块 截获 。 访 问 控 制 模块 首先 依据 自主 访问 控制 策略 对 其 执行 策略 符合 性 检查 ， 
如 果 检 查 通过 ,那么 该 请 求 允许 将 被 执行 。 否 则 访问 控制 模块 将 依据 强制 访问 控制 策略 对 
该 请 求 执行 策略 符合 性 检查 。 如 果 检 查 通 过 ,那么 该 请 求 将 允许 被 执行 。 否 则 ,系统 将 对 其 
进行 级 别 调整 检查 , 即 依照 级 别 调整 检查 策略 ,判断 发 出 该 请 求 的 主体 是 否 有 特权 访问 该 客 
体 ,如 果 上 述 检查 通过 ,该 请 求 同 样 允许 被 执行 ,否则 ,该 请 求 将 被 拒绝 执行 。 系 统 访问 控制 
机 制 在 安全 决策 过 程 中 ,需要 根据 系统 审计 员 制 定 的 审计 策略 ,对 用 户 的 请 求 及 决策 结果 进 
行 审 计 , 并 且 将 生成 的 审计 信息 发 送 到 审计 服务 器 存储 , 供 审计 员 检查 和 处 理 。 


4. 接 入 控制 流程 

如 果 主 体 和 其 所 请 求 访问 的 客体 资源 不 在 同一 个 计算 节点 上 ,该 请 求 将 会 被 可 信 接 
人 模块 截获 ,用 来 判断 该 请 求 是 否 会 破坏 系统 安全 。 在 进行 接 人 检查 前 ,模块 首先 通知 系 
统 安 全 代理 获取 对 方 节点 的 平台 身份 ,并 检验 其 安全 性 。 如 果 检 验 结果 是 不 安全 的 , 则 系 
统 将 拒绝 该 请 求 发 生 。 否 则 ,系统 将 依据 强制 访问 控制 策略 ,判断 该 主体 是 否 允 许 访问 对 
方 节点 的 相应 端口 ,如果 检查 通过 ,该 请 求 将 被 放行 ,否则 被 拒绝 。 


5. 边界 访问 控制 流程 

如 果 主 体 和 其 所 请 求 访问 的 客体 资源 不 在 同一 个 安全 保护 环境 内 ,那么 该 请 求 必然 
会 被 区 域 边界 控制 设备 截获 并 且 进 行 安全 性 检查 。 检 查 过 程 类 似 于 节点 访问 控制 流程 ， 
不 同 的 是 ,区 域 边界 控制 设备 不 仅 接受 本 安全 保护 环境 中 安全 管理 中 心 的 统一 管理 ,而 且 
需要 接受 上 一 级 安全 管理 中 心 的 管理 ,需要 执行 跨 域 互 连 策略 ,因此 ,区 域 边 界 从 上 一 级 
安全 管理 中 心 下 载 策 略 , 从 跨 域 的 角度 检查 是 否 允许 该 主体 访问 该 客体 资源 。 当 检查 通 
过 后 ,该 请 求 包 将 通过 安全 的 通信 网 络 传递 到 指定 安全 域 中 。 

(1) 自主 访问 控制 流程 

系统 在 初始 化 过 程 中 ,安全 管理 中 心 需要 对 系统 中 的 所 有 主体 实施 身份 管理 .授权 管 
理 和 策略 管理 。 其 中 身份 管理 是 确定 系统 中 所 有 合法 用 户 的 身份 .工作 密 钥 证书 等 与 安 
全 相关 的 内 容 。 授 权 管 理 是 对 用 户 提出 的 授予 某 主 体 访问 某 客体 权限 的 请 求 进行 批复 的 
过 程 。 策 略 管理 是 将 授权 信息 生成 自主 访问 控制 策略 , 供 节 点 系统 执行 。 除 此 之 外 ,系统 
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审计 员 需 要 通过 安全 管理 中 心 制定 系统 审计 策略 ,实施 系统 的 审计 管理 。 

系统 初始 化 完成 后 ,用 户 便 可 以 请 求 访问 系统 资源 ,该 请 求 将 被 自主 访问 控制 模块 截 
获 。 自 主 访问 控制 模块 从 用 户 请 求 中 取出 与 访问 控制 相关 的 主体 、 客 体 、 操 作 三 要 素 信 
息 ,然后 查询 全 局 主体 列表 ,得 到 主体 所 在 用 户 组 信息 。 进 而 依据 自主 访问 控制 策略 对 该 
请 求实 施 策略 符合 性 检查 。 如 果 该 请 求 符合 系统 自主 访问 控制 策略 , 则 系统 将 允许 该 主 
体 执行 资源 访问 。 和 否则 ,系统 将 直接 拒绝 该 请 求 执行 。 

系统 自主 访问 控制 机 制 在 执行 安全 策略 过 程 中 ,需要 根据 系统 审计 员 人 制定 的 审计 策 
略 ,对 用 户 的 请 求 及 安全 决策 结果 进行 审计 ,并 且 将 生成 的 审计 信息 发 送 到 审计 服务 器 存 
储 , 供 审计 员 管 理 , 如 图 4-2 所 示 。 


执行 主体 请 求 访 问 资源 


身份 | 用 户 组 


客体 
客体 内 容 |- 


授权 主体 请 求 制定 策略 


安全 /系统 管理 | 审计 管理 


安全 管理 中 心 


图 4-2 自主 访问 控制 流程 


(2) 强制 访问 控制 流程 

系统 在 初始 化 过 程 中 ,安全 管理 中 心 需要 对 系统 中 的 所 有 主体 和 客体 实施 身份 管理 、 
标记 管理 ,授权 管理 和 策略 管理 。 身 份 管理 是 确定 系统 中 的 所 有 合法 用 户 的 身份 工作 密 
钥 、 证 书 等 与 安全 相关 的 内 容 。 标 记 管理 是 根据 业务 系统 的 需要 ,结合 客体 资源 的 重要 程 
度 ,确定 系统 中 所 有 客体 资源 的 安全 级 ,生成 全 局 客体 标记 列表 ,同时 根据 用 户 在 业务 系 
统 中 的 权限 和 角色 确定 主体 的 安全 标记 ,生成 全 局 主体 标记 列表 。 授 权 管理 是 根据 系统 
需求 和 安全 状况 ,授予 用 户 访问 客体 资源 能 力 的 权限 ,生成 强制 访问 控制 列表 和 特权 列 
表 。 策 略 管理 则 是 根据 节点 系统 的 需求 ,生成 和 执行 与 主体 相关 的 策略 ,包括 强制 访问 控 
制 策略 、 级 别 改变 检查 策略 等 , 供 节点 系统 执行 。 除 此 之 外 ,系统 审计 员 需 要 通过 安全 管 
理 中 心 制定 系统 审计 策略 ,实施 系统 的 审计 管理 。 

系统 初始 化 完成 后 ,用 户 便 可 以 请 求 访问 系统 资源 ,该 请 求 将 被 强制 访问 控制 模块 截 
获 。 强 制 访问 控制 模块 从 用 户 请 求 中 取出 与 访问 控制 相关 的 主体 客体 和 操作 三 要 素 信 
息 ,然后 查询 全 局 主 / 客 体 列表 ,得 到 主 / 客 体 的 标记 信息 。 进 而 依据 强制 访问 控制 策略 对 
该 请 求实 施 策略 符合 性 检查 。 如 果 该 请 求 符合 系统 强制 访问 控制 策略 , 则 系统 将 允许 该 
主体 执行 资源 访问 。 否 则 ,系统 将 进行 级 别 改变 审核 , 即 依据 级 别 改变 检查 策略 ,判断 发 
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全 1 安全 功能 和 总 体 结构 


出 该 请 求 的 主体 是 否 有 特权 访问 该 客体 。 如 果 上 述 检查 通过 ,系统 同样 允许 该 主体 执行 
资源 访问 ,否则 ,该 请 求 将 被 系统 拒绝 执行 。 

系统 强制 访问 控制 机 制 在 执行 安全 策略 的 过 程 中 ,需要 根据 系统 审计 员 制 定 的 审计 
策略 ,对 用 户 的 请 求 及 安全 决策 结果 进行 审计 ,并 且 将 生成 的 审计 信息 发 送 到 审计 服务 器 
存储 , 供 审 计 员 管理 ,如 图 4-3 所 示 。 


执行 主体 请 求 访问 资源 


二 

请 执行 拒绝 
2 求 返回 返回 
主体 


~ 身份 | 标记 


AN 不 符合 
按 级 别 判定 


| \ 策 咯 符 合 人 性 /允许 


标记 管理 、 授 权 管 理 、 策 略 管理 审计 管理 


户 身 份 管理 、 资 源 管理 、 应 急 人 处 理 


安全 管理 中 心 


图 4-3 强制 访问 控制 流程 


(3) 子 系 统 间接 口 
为 了 清楚 描述 各 子 系统 之 间 的 关系 ,将 上 述 结构 简化 为 图 4-4 所 示 的 框图 。 方 框 表 
示 各 子 系统 ,箭头 表示 各 子 系统 之 间 的 接口 关系 。 


统 


典型 应 用 子 系 


[一 人 
Ne ss 区 域 边界 子 | -| 通信 网 络 子 
节点 子 系统 系统 
Fe ~ 
Linux ~ 


节点 子 系统 


安全 管理 子 系统 ” 一 了 审计 子 系统 


图 4-4 四 级 安全 应 用 平台 子 系统 接口 
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典型 应 用 子 系统 与 节点 子 系统 之 间 通 过 系统 调用 接口 ,其 他 子 系统 之 间 则 通过 可 靠 
的 网 络 传输 协议 ,按照 规定 的 接口 协议 传输 策略 数据 审计 数据 以 及 其 他 平台 认证 数据 
等 。 由 于 不 同 子 系统 之 间 需 要 交换 各 种 类 型 的 数据 包 , 于 是 需要 明确 定义 子 系统 间 的 接 
口 协议 并 规范 传输 数据 包 ,使 得 它们 能 够 透明 交互 ,实现 相应 数据 的 交换 。 


_ 实现 方案 和 设备 类 型 


1. 实现 方案 

第 四 级 系统 安全 保护 环境 的 实现 方案 是 按照 第 四 级 系统 安全 保护 环境 的 设计 目标 和 
设计 策略 ,落实 第 四 级 安全 计算 环境 、 安 全 区 域 边界 .安全 通信 网 络 以 及 安全 管理 中 心 的 
设计 技术 要 求 , 选 择 符合 相应 要 求 的 安全 产品 进行 集成 的 。 此 外 ,系统 安全 集成 还 应 包括 
配置 系统 备份 与 恢复 机 制 ,支持 系统 管理 员 在 系统 出 现 故障 时 进行 恢复 ;根据 应 用 对 业务 
连续 人 性 的 要 求 , 配 置 系 统 级 的 本 地 和 异地 灾难 备份 与 恢复 机 制 ,制定 应 急 处 置 和 灾难 恢复 
预案 ,支持 应 急 处 理 和 恢复 。 


2. 设备 类 型 
表 4-1 是 第 四 级 系统 安全 保护 环境 集成 中 各 部 分 主要 产品 的 设备 类 型 。 
表 4-1 第 四 级 系统 安全 保护 环境 主要 产品 的 设备 类 型 

使 用 范围 产品 设备 类 型 

操作 系统 \ 数 据 库 管理 系统 、 安 全 审计 系统 、 终 端 安全 管理 ,身份 鉴别 系统 等 
操作 系统 等 
安全 区 域 边界 安全 隔离 与 信息 交换 系统 、 安 全 网 关 等 
安全 通信 网 络 VEN 加 密 机 、 路 由 器 等 
安全 管理 中 心 安全 管理 平台 


安全 计算 环境 


安全 计算 环境 子 系统 的 设计 和 实现 


安全 计算 环境 子 系统 分 为 Windows 节点 子 系统 和 Linux 节点 子 系统 ,下 面 分 别 进行 
描述 。 


1. Windows 节点 子 系统 

满足 GB 17859 一 1999 规定 的 安全 功能 要 求 和 保证 要 求 ,尤其 是 自身 的 结构 化 要 求 ， 
具体 的 功能 设计 如 下 所 述 。 

@ 强制 访问 控制 : 支持 二 维 标识 模型 的 强制 访问 控制 机 制 ,能 够 保护 信息 系统 的 机 
密 性 及 完整 性 不 受 破坏 。 
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@ 标记 : 对 系统 中 的 进程 .文件 进行 全 程 标记 ,确保 主客 体 在 整个 生命 周期 中 其 标 
记 信 息 都 是 准确 完整 一 致 的 。 

图 身份 鉴别 : 有 基于 可 信 硬 件 设 备 的 安全 身份 鉴别 机 制 , 且 可 以 通过 安全 机 制 将 身 
份 与 授权 权限 绑 定 。 

@ 审计 : 对 系统 中 所 有 违反 安全 策略 的 操作 进行 审计 ,并 能 阻止 非 审 计 管 理 员 用 户 
对 审计 信息 的 访问 或 破坏 。 

@ 数据 完整 性 : 通过 自主 和 强制 完整 性 策略 ,阻止 非 授权 用 户 修改 或 破坏 敏感 
信息 。 

@@ 可 信 路 径 : 建立 用 户 与 计算 机 信息 系统 之 间 的 可 信和 通信 路 径 , 确 保 该 路 径 上 通信 
信息 的 完整 性 不 被 破坏 。 

@ 可 信和 链 的 建立 与 扩展 : 具有 可 信和 度量 、 可 信和 存储 及 可 信和 报告 等 可 信和 功能 ,能 够 建 
立 从 操作 系统 到 上 层 应 用 ,最 终 到 网 络 连 接 的 完整 信任 链 。 能 够 确保 操作 系统 的 初 状态 
可 信 , 系 统 TCB 的 自身 安全 性 不 会 遭 到 破坏 。 能 够 确保 系统 中 的 安全 应 用 进程 始终 按照 
预期 行为 执行 ,其 可 信人 性 不 会 遭 到 破坏 。 

系统 可 信和 授权 管理 : 提供 细 粒 度 的 授权 机 人 制 , 使 系统 在 制定 安全 策略 时 ,可 以 通 
近 最 小 特权 原则 ,并 可 以 通过 授权 机 制 来 对 整个 四 级 安全 应 用 平台 的 安全 权限 提供 连接 。 

@ 可 信 接 人 : 接 人 信息 系统 的 主机 具有 安全 保障 措施 ,终端 平台 环境 对 信息 系统 来 
说 是 可 信 的 ,主机 之 间 的 互 连 安全 可 靠 。 四 级 Windows 操作 系统 通过 安全 增强 ,平台 验 
证 和 加 密 信道 通信 和 实现 主机 之 间 的 可 信 互 连 。 

四 四 级 Windows 节点 子 系统 主要 是 针对 安全 目的 而 开发 ,因此 其 指标 的 实现 也 主 
要 是 针对 安全 功能 和 安全 保证 而 设置 的 ,四 级 Windows 节点 子 系统 实现 的 功能 指标 见 
表 4-2。 

表 4-2 四 级 Windows 节点 子 系统 实现 的 功能 

指标 类 型 指标 的 具体 内 容 
提供 三 维 标记 ,标记 实体 保密 性 级 别 、 完 整 性 级 别 和 范畴 。 标 记 的 对 象 包括 系统 中 的 用 
户 、 所 有 文件 及 进程 。 能 够 确保 实体 在 整个 生命 周期 中 ,其 标记 信息 是 准确 完整 一 致 的 


强制 访问 控制 机 制 的 实施 与 系统 二 维 安全 模型 一 致 的 安全 策略 ,能 够 控制 进程 对 文件 的 
强制 访问 | 所 有 操作 。 强 制 访问 控制 机 制 应 具有 一 定 的 灵活 性 ,能 够 结合 应 用 的 流程 ,对 进程 不 符合 
控制 系统 强制 访问 控制 策略 的 行为 进行 检查 ,确保 那些 符合 业务 需求 ,但 又 不 破坏 系统 安全 的 
行为 发 生 。 强 制 访 问 控制 机 制 始终 有 效 ,不 会 被 旁 路 


身份 鉴别 | 能 够 提供 基于 可 信 硬 件 设备 的 安全 身份 鉴别 机 制 ,确保 非 授权 用 户 无 法 访问 信息 系统 


能 够 记录 下 述 事件 :用 户 登录 事件 、 客 体 的 创建 和 删除 事件 、 安 全 管理 员 、 安 全 审计 员 、 系 
审计 统 操作 员 以 及 系统 中 其 他 用 户 的 一 切 与 安全 相关 的 行为 。 审 计 的 具体 内 容 应 满足 
GB 17859 一 1999 中 四 级 系统 的 审计 规范 要 求 


系统 可 信 | 能 够 确保 系统 TCB、 应 用 系统 的 完整 性 ,确保 恶意 代码 无 法 入侵 系统 和 非 授 权 终端 无 法 接 
机 制 入 信息 系统 


标记 
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2. Linux 节 点 子 系统 

作为 四 级 Linux 系统 , 它 不 仅 自身 需要 达到 结构 化 保护 的 要 求 ,还 需要 为 整个 四 级 安 
全 应 用 平台 提供 支撑 。 具 体 的 功能 设计 如 下 所 述 。 

首先 是 安全 功能 要 求 ,包括 以 下 七 点 。 

@ 强制 访问 控制 。 支 持 二 维 标识 模型 的 强制 访问 控制 机 制 ,并 提供 安全 策略 扩充 的 
余地 。 

@ 标记 。 对 系统 中 的 进程 .文件 进行 全 面 标记 ,并 可 以 将 这 一 标记 扩充 到 与 其 
互联 的 所 有 Linux 系统 中 。 必 要 情况 下 ,Linux 系统 应 能 为 特定 的 字段 提供 列表 式 的 
标识 。 

@ 身份 鉴别 。 有 基于 可 信和 硬件 设备 的 安全 身份 鉴别 机 制 , 且 可 以 通过 安全 机 制 将 身 
份 与 授权 权限 绑 定 。 

@ 审计 。 对 系统 中 所 有 违反 安全 策略 的 操作 进行 审计 ,并 能 阻止 非 审 计 管 理 员 用 户 
对 审计 信息 的 访问 或 破坏 。 

@ 数据 完整 性 。 系 统 通 过 自主 和 强制 完整 性 策略 ,阻止 非 授权 用 户 修改 或 破坏 敏感 
信息 。 

@ 可 信 路 径 。 对 用 户 的 初始 登录 和 鉴别 ,计算 机 信息 系统 在 它 与 用 户 之 间 提 供 可 信 
通信 路 径 。 该 路 径 上 的 通信 只 能 由 该 用 户 初始 化 。 

@) 安全 封装 。 系 统 为 系统 环境 上 的 应 用 提供 安全 封装 机 制 , 该 机 制 控制 应 用 的 所 有 
输入 /输出 信息 和 应 用 通过 操作 系统 对 资源 的 所 有 访问 ,并 为 通过 分 析 应 用 输入 /输出 信 
息 来 确定 应 用 对 资源 访问 的 安全 策略 提供 操作 系统 上 的 功能 支持 。 

其 次 是 安全 保证 要 求 的 功能 设计 ,包括 以 下 五 点 。 

@ 系统 完整 可 信和 链 的 建立 。 从 主机 的 TPCM 模块 和 可 信 BIOS 出 发 ,通过 可 信和 链条 
的 层 层 传递 ,保证 系统 初 态 的 可 信 性 ,以 及 系统 中 各 安全 守护 进程 .安全 应 用 进程 的 可 信 
性 及 它们 的 可 信和 启动 。 

@ 系统 访问 控制 机 制 的 全 面 性 。 建 立 了 一 个 基于 二 维 安全 策略 模型 之 上 的 访问 控 
制 机 制 , 并 保证 该 控制 机 制 遍及 所 有 对 文件 的 操作 。 

@ 安全 程序 结构 化 。 结 构 化 分 解 为 关键 保护 元 素 和 非 关 键 保 护 元 素 , 可 信 计 算 基 必 
须 建立 在 一 个 明确 定义 的 形式 化 策略 基础 上 ,其 接口 也 必须 给 出 明确 的 定义 ,禁止 从 可 信 
计算 基 关 键 保护 元 素 到 非 关键 保护 元 素 安全 策略 的 相关 信息 的 流动 。 可 信 计 算 基 的 关键 
保护 元 素 必须 根据 其 保护 原则 划分 功能 层次 ,明确 定义 层次 之 间 的 调用 关系 接口 ,在 不 同 
层次 之 间 建 立 全 序 或 半 序 的 函数 调用 关系 ,并 通过 分 态 等 隔离 措施 保障 层次 关系 的 划分 。 

@ 重要 接口 参数 结构 化 。 通 过 系统 可 信 计 算 基 实施 隔离 ,以 防范 系统 的 存储 隐 项 通 
道 。 与 可 信 计 算 基 安全 策略 相关 的 敏感 信息 需要 进行 加 密 保 护 和 校 验 措施 , 防止 数据 被 
窃取 或 被 算 改 。 

@ 连接 交互 结构 化 。 互 相通 过 可 信和 验证 机 制 验证 对 方 的 可 信 性 ,确保 互 连 部 件 的 可 
信 计 算 基 可 以 无 颖 连接 。 

四 级 Linux 节点 子 系统 各 安全 功能 和 安全 保证 的 具体 实现 功能 指标 见 表 4-3。 
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表 4-3 高 安全 级 别 Linux 操作 系统 功能 指标 


指标 类 型 | 指标 项 目 指标 具体 内 容 
标识 内 容 。 | 提供 二 维 标识 ,标识 系统 保密 性 级 别 、 完 整 性 级 别 和 类 别 
对 这 各 多 标识 | 过 和 和 生 撞 全 一 各 标 ,关怀 训 和 的 当前 用 安全 信和 区 
系统 所 有 文件 有 文件 安全 属性 表 或 缺 省 安全 属性 。 访 文件 安全 属性 表 
寺 冯 件 的 标识 | 表征 系统 文件 的 二 维 标识 
标识 系统 打开 文件 时 ,自动 从 文件 安全 属性 表 中 读 人 对 应 的 文件 标识 ,并 吉 
载 在 文件 数据 结构 ,索引 节点 数据 结构 上 
殉 络 信息 安全 | 系统 在 发 送 同 络 信息 时 ,应 将 二 维 安全 标识 附带 发 送 ,接收 网 络 信息 
标识 时 ,应 能 判断 对 方 发 来 的 二 维 网 络 信息 安全 标识 
收 权 标识 | 系统 特定 的 可 依 主 体 可 以 给 予 特定 的 权限 ,并 通过 对 可 信 主 体 的 投 权 
标识 来 表明 这 些 特殊 权限 
还 可 对 文件 的 | 系统 进程 对 文件 所 有 的 系统 调用 均 有 强制 访问 控制 机 制 \ 且 这 此 机箱 
强制 访问 控制 | 实施 的 安全 策略 与 系统 的 二 维 安全 模型 安全 策略 一 致 
网 络 访问 控制 | 系统 对 网 络 套 接 宇 的 访问 星 特 系统 的 整体 强制 访问 控制 策略 
| 系统 对 应 用 的 输入 /输出 信息 流 具 备 过滤 和 格式 检查 功能 
强制 访问 | 应 用 访问 控制 | 系统 在 系统 调用 层 可 以 监控 应 用 的 所 有 系统 资源 的 访问 操作 ,并 可 以 
控制 封装 将 根据 格式 检查 所 确定 的 应 用 安全 策 赂 部 团 到 系统 资源 访问 操作 上 ， 
实现 对 应 用 的 访问 控制 封装 
保 站 检查 室 与 | 系统 可 对 特定 的 、 可 确保 其 安全 性 的 可 信 进 得 授予 特权 ,保密 检查 室 可 
保 侣 术 查 宝 号 | 允许 不 破坏 系统 保密 性 的 特权 进 得 的 上 恋 下 写 行为 ,完整 检查 室 可 多 
许 不 破坏 系统 完整 性 的 特权 进程 的 下 读 上 写 行为 
可 信 向 功 | 系统 通过 可 入 计 算 机 实现 对 可 信 引 导 各 序 的 可 依 验 证 ,防止 外 春 对 下 
有 导 程 序 的 任何 复 改 
机 上 可 时 | 可 入 引 导 程序 厅 验证 可 信 内 核 和 可 信 初 始 盘 的 可 信 性 ,并 把 系统 权限 
移交 给 安全 内 核 和 可 信 初 始 系统 
系统 可 信和 | 后 信 初 好 未 统 | 人 初始 系统 中 实现 了 系统 安全 模块 加 载 和 系统 前 态 可 信和 度量 ,并 启 
机 他 ! 信 初始 系统 | 动 了 可 信守 护 进程 
卫生 二 AR | 包括 安全 策略 守护 进程 .可 信 互 联 守护 进程 和 币 计 守护 进程 ,提供 系统 
可 信守 护 进 程 | 的 安全 机 制服 务 
志 ATTDA | 通过 可 信服 务 守护 进程 提供 部 件 癌 的 可 信和 互联 服务 ,包括 可 信 接 人 与 
了 了 信 互 联 服务 | 远 短 可 信 证 明 
安全 程序 结 | 系统 的 TCB 部 分 实现 和 其 他 部 分 的 实现 分 离 ,TCB 部 分 全 部 在 系统 的 
次 全 程序 竺 | 内 核 态 实施 ,并 划分 成 核心 层 . 系 统 层 和 驱动 层 , 对 核心 导 实 施 隔离 和 
调用 接口 的 检查 
系统 结构 化 ee ee 
pa 重要 接口 参数 | 对 安全 策 咯 调用 和 和 审计 信息 发 送 等 安全 信息 的 处 理 ,实施 加 密 和 完整 
结构 化 性 校 验 等 数据 的 保护 措施 ,保证 安全 数据 的 保密 性 和 完整 性 
连接 交互 缚 | 四 级 信息 系统 各 安全 部 件 之 间 互 联 时 ,双方 需要 互相 通过 可 信 验 证 机 
构 化 制 验证 对 方 的 可 信 性 ,确保 志 联 部 件 的 可 信 计 算 基 可 以 无 颖 连接 
对 强制 访问 控 | sp pop ny i , 
朋 统 生计 | 机 抽 的 四 计 | 审计 信息 妆 够 通过 探头 对 系统 中 所 有 访问 控制 行为 提供 审计 功能 
机 抽 市 计策 咯 突 施 | 生计 策略 的 实施 可 以 根据 市 计 级 别 设置 ,选择 开启 或 关闭 系统 中 特定 


的 审计 探头 ,或 更 改 审 计 探 头 的 审计 触发 条 件 
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_ 安 全 区 域 边界 子 系统 的 设计 和 实现 


区 域 边界 子 系统 是 建立 在 安全 信息 系统 之 上 的 边界 固化 系统 ,根据 安全 管理 平台 所 
给 定 的 访问 配置 策略 ,对 所 有 跨 边界 访问 的 信息 进行 有 效 的 安全 访问 控制 。 根 据 安全 管 
理 平台 所 给 定 的 访问 配置 策略 ,对 所 有 跨 边 界 访问 的 信息 进行 有 效 的 安全 访问 控制 。 保 
障 网 际 信息 交换 在 安全 可 控 的 环境 下 进行 ,对 访问 者 进行 身份 验证 ,并 保留 可 以 追究 直接 
责任 人 的 审计 信息 。 保 障 信息 交换 中 所 保护 的 安全 域 ,不 受 其 他 非法 访问 的 干扰 和 破坏 。 

区 域 边界 子 系统 现 采 用 三 机 系统 体系 结构 : 内 部 代理 、 仲 裁 系统 和 外 部 代理 。 仲 裁 
系统 和 内 外 代理 系统 之 间 需 要 有 安全 可 靠 的 数据 传输 通道 ,而 且 该 数据 传输 通道 需 采用 
专 有 的 数据 传输 协议 ;区 域 边界 子 系 统 需要 获得 访问 主体 及 该 主体 所 访问 的 客体 信息 ,以 
对 其 进行 访问 控制 。 用 户 可 以 跨 域 访问 客体 ,安全 边界 支持 客体 为 FTP 服务 器 保存 的 文 
件 ; Web 服务 器 保存 的 文件 (网 页 或 者 文件 ) ;邮件 服务 器 保存 的 文件 (邮件 ); 协 议 开放 的 
私有 文件 交换 CS 结构 服务 。 

其 设计 如 下 所 述 。 

@ 跨 域 访问 控制 : 支持 二 维 标识 模型 的 强制 访问 控制 机 制 ,在 跨 边 界 访问 时 保护 域 
中 信息 系统 的 机 密 性 及 完整 性 不 受 破 坏 。 

@ 跨 域 访问 身份 鉴别 : 基于 安全 管理 策略 的 安全 身份 鉴别 机 制 , 通 过 认证 机 制 将 身 
份 与 授权 权限 绑 定 。 

图 审计 : 对 经 过 边界 的 所 有 操作 进行 审计 ,并 阻止 非 审 计 管理 员 用 户 对 审计 信息 的 
访问 或 破坏 。 

@ 可 信 授 权 管 理 : 只 接受 可 信 授 权 的 系统 管理 ,提供 细 粒 度 的 授权 机 制 , 使 系统 在 
制定 系统 安全 策略 时 ,可 以 台 近 最 小 特权 原则 。 

加 过 滤 : 根据 安全 管理 策略 对 信息 进行 一 系列 的 安全 过 滤 。 

@ 可 信 接 人 : 区 域 边界 子 系统 的 内 部 代理 相对 于 所 保护 的 安全 域 ,也 是 其 中 的 一 子 
市 点 ,因此 也 符合 节点 与 节点 之 间 的 可 信和 互联 标准 。 

区 域 边界 子 系统 主要 是 针对 跨 边界 访问 的 安全 目的 而 开发 ,因此 其 设计 和 实现 的 内 
容 也 主要 是 针对 跨 边 界 访问 的 安全 功能 和 安全 保证 而 设置 。 区 域 边界 子 系统 跨 边界 访问 
实现 的 功能 指标 见 表 4-4。 

图 4-5 是 区 域 边 界 子 系统 模块 组 成 图 ,其 中 各 模块 功能 撒 述 如 下 : 

@ 应 用 代理 子 模块 : 开启 服务 监听 代理 ,接收 或 发 送 跨 域 网 络 信息 。 

@ 信息 落地 子 模块 : 还 原 跨 域 网 络 信息 至 应 用 层 , 获 取 主 体 与 客体 信息 。 

@@ 信息 封装 子 模块 : 将 允许 通过 的 应 用 层 数 据 , 通 过 设 定好 的 内 部 配置 进行 协议 
封装 。 

@ 跨 域 访问 控制 子 模块 : 强制 访问 控制 功能 ?根据 强制 访问 控制 策略 以 及 主客 体 
标记 信息 ,实现 对 所 保护 安全 域 中 信息 的 强制 访问 控制 ,确保 信息 系统 的 机 密 性 和 完整 
性 不 受 破坏 .( 身 份 鉴别 功能 ) 基 于 安全 管理 策略 的 安全 身份 鉴别 机 制 , 可 以 通过 认证 机 制 


ss | 36 ss 
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表 4-4 区 域 边界 子 系统 功能 指标 


指标 类 型 指标 具体 内 容 


强制 访问 控制 机 制 实 施 与 系统 二 维 安全 模型 一 致 的 安全 策略 ,能 够 控制 进程 对 
跨 域 文件 访问 的 所 有 操作 。 并 且 应 具有 一 定 的 灵活 性 ,能 够 结合 应 用 的 流程 ,对 
跨 域 访问 是 否 符合 强制 访问 控制 策略 等 行为 进行 检查 ,确保 那些 符合 业务 需求 ， 
跨 域 强制 访问 控制 | 但 又 不 破坏 系统 安全 的 行为 发 生 。 跨 域 强制 访问 控制 需要 根据 主体 对 跨 域 访问 
中 文件 .目录 和 设备 的 访问 操作 请 求 , 根 据 安全 策略 对 访问 请 求 进行 安全 判定 ， 
对 符合 安全 规则 的 请 求 , 允 许 主体 对 资源 的 操作 继续 进行 ,反之 则 拒绝 主体 对 资 
源 的 非 授 权 访 问 


跨 域 访问 身份 鉴别 机 制 应 能 够 提供 基于 安全 管理 策略 配置 的 安全 身份 鉴别 机 
跨 域 访问 身份 鉴别 | 制 , 控 制 允许 跨 边 界 访 问 的 机 器 以 及 用 户 。 在 允许 访问 列表 中 的 机 器 及 用 户 , 认 
证 通行 ;不 允许 的 则 终止 非 授权 请 求 


能 够 记录 跨 域 访问 行为 中 涉及 到 的 一 系列 动作 ,包括 对 文件 的 添加 删除 上传 下 
审计 载 等 操作 。 审 计 的 具体 内 容 需 要 满足 GB 17859 一 1999 中 四 级 系统 的 审计 规范 
要 求 


系统 可 信 授 权 管理 | 只 可 接受 可 信 授 权 的 管理 ,安全 策略 的 制定 需 满足 最 小 特权 原则 


能 根据 安全 管理 策略 对 信息 进行 一 系列 的 安全 过 滤 , 如 文件 类 型 是 否 符合 .关键 


信息 过 滤 字 过 滤 等 
ye 区 域 边 界 子 系统 对 于 保护 的 安全 域 来 说 也 相当 于 其 中 的 一 个 安全 节点 ,因此 需 
要 满足 节点 与 节点 之 间 的 可 信 接 入 。 具 体内 容 参 照 安全 节点 子 系统 中 的 说 明 
厂 区 域 边界 子 系统 人 
/内 部 代 理 
应 信 审 信 跨 域 
息 读 息 访问 Ll 
代 | | 落 | | 子 过 | 6| 控制 | | 子 
理 上 | 地 由 岂 模 让 | 人 子 模 | 村 
子 | | 子 | | 块 子 | | 块 | | 块 
系 模 | | 模 模 i 
统 块 块 块 块 
全 人 jz ho 77 44 ho ho k 
内 部 协议 传输 子 模块 -十 | 内 部 协议 传输 子 模块 | 直 3 + | 内 部 协议 传输 子 模块 
| 安全 增强 的 Linux 1 安全 增强 的 |! [安全 增强 的 Linux 1 
| 操作 系统 | 9 LLinux 操 作 系统 1 13 Nl 
Ne 
| 
下 
ot a i 
下 < 本 a 
1 跨 域 安全 os 
和 中 心 | 入 | 
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将 身份 与 授权 权限 绑 定 。 
@@ 审计 子 模块 : 对 经 过 边界 的 所 有 操作 进行 审计 ,并 向 审计 服务 器 提交 审计 信息 。 
@ 信息 过 滤 子 模块 ; 根据 安全 管理 策略 对 信息 进行 一 系列 的 安全 过 滤 。 
@ 内 部 协议 传输 子 模 块 : 三 机 内 部 之 间 的 数据 传输 。 


_ 安全 通信 网 络 子 系统 的 设计 和 实现 


负责 保证 安全 系统 在 通过 网 络 进行 跨 域 访问 时 的 安全 ,其 具体 设计 和 实现 如 下 所 述 。 

@ 数据 源 身 份 认证 : 证 实数 据 报 文 是 所 声明 的 发 送 者 发 出 的 。 

@ 数据 完整 性 : 证 实数 据 报 文 在 传输 过 程 中 没 被 修改 过 ,无 论 是 被 故意 改动 过 还 是 
发 生 了 随机 的 传送 错误 。 

@ 数据 的 机 密 性 : 隐藏 明文 的 消息 ,通常 靠 加 密 来 实现 。 

@ 防止 重 放 攻 击 : 当 攻击 者 将 截获 到 的 数据 报 文 在 稍 后 的 时 间 内 发 送 时 ,会 被 检测 
到 ,并 丢弃 。 

用 IPSec 对 数据 包 进行 加 密 和 验证 , 密 钥 也 是 道 过 强壮 的 IKE 协商 的 ,因此 可 确保 
数据 包 的 机 密 性 和 可 信 性 。 同 时 ,IPSec 对 数据 包 进 行 封装 ,隐藏 数据 包 的 一 些 通信 特 
征 , 可 抵抗 道 信 分 析 。 为 了 在 不 同 的 安全 域 中 的 透明 通信 ,将 该 设备 作为 网 关 部 署 ,这 样 
就 可 以 在 安全 保护 环境 之 间 实 现 安全 通信 ,同时 不 影响 内 部 的 信息 交换 。 

系统 采用 硬件 加 密 卡 进行 加 解密 运算 ,加快 了 运算 速度 ,也 增强 了 安全 性 。 加 密 卡 是 
以 PCI 或 者 专用 的 接口 插 在 主板 上 ,在 处 理 数据 包 时 ,模块 根据 密码 卡 要 求 的 格式 将 数 
据 包 重 新 组 织 , 同 时 告诉 加 密 卡 加 密 算法 和 密 钥 等 信息 ,由 硬件 自动 实现 对 数据 包 的 加 解 
密 操作 ,从 而 提高 性 能 和 安全 性 。 

VPN 网 关 的 主要 功能 模块 包括 策略 管理 、 密 钥 交 换 、 加 密 库 模块 、 报 文 封装 模块 、 加 
密 卡 驱动 。 子 系统 的 组 成 框图 如 图 4-6 所 示 。 


密 钥 交换 策略 管理 | 一 一- 一 一 ~| 安全 管理 中 心 


:| 应 用 坊 
一 一 一 审计 子 系统 


:| 内 核 态 加 密 库 模块 


了 
报 文 封装 模块 
上 
了 
加 窗 卡 驱动 


图 4-6 网 络 通信 子 系统 模块 组 成 
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4.5 .安全 通信 网 络 子 系统 的 设计 和 实现 


1. 策略 管理 

从 安全 管理 中 心 下 载 安 全 策略 , 设 定 IPSece 的 算法 以 及 密 钥 协商 和 密 钥 的 存储 位 
置 等 。 

策略 维护 通过 配置 文件 来 实现 。 即 用 户 对 策略 配置 和 管理 系统 进行 操作 ,实际 上 就 
是 操作 配置 文件 ,但 用 户 配 置 的 只 是 配置 文件 中 的 一 部 分 ,配置 文件 中 的 其 他 内 容 不 允许 
用 户 修改 ,其 中 包括 : 

Q@ CA 证书 .用 户 证 书 和 私 钥 的 存放 位 置 。CA 证 书 是 由 CA 中 心 负责 发 放 的 ,该 证 
书 用 智能 卡 形式 发 放 ,另外 还 支持 由 第 三 方 提供 的 证 书 来 进行 认证 。 

@ 采用 ESP 协议 时 ,第 一 阶段 和 第 二 阶段 的 加 密 算法 、 散 列 算法 和 认证 算法 。 

@ 连接 形式 : 对 于 网 关 与 网 关 之 间 的 通信 ,网 关 总 是 主动 连接 , 即 IKE 主动 发 起 协 
商 , 试 图 和 对 方 进 行 安全 协商 , 重 传 三 次 后 不 成 功 就 放弃 。 对 于 网 关 与 主机 的 通信 ,网 关 
是 被 动 连接 , 即 网 关 只 有 在 接收 到 主机 的 协商 消息 后 才 和 主机 进行 协商 。 

其 他 选项 采用 IKE 里 面 的 默认 配置 ,如 重 传 次 数 、 最 大 交换 时 间 等 。 


2. 密 钥 交 换 
密 钥 交换 模块 作为 一 个 服务 运行 ,负责 处 理 用 户 的 管理 配置 命令 , 同 对 方 设备 进行 密 
码 协商 交互 、 密 钥 载荷 的 加 密 验 证 处 理 以 及 同 IPSec 内 核 的 安全 联盟 数据 库 SA 的 交互 。 


3. 密 钥 库 模 块 

IPSec 内 核 主 要 包括 以 下 几 个 功能 : 完整 实现 AH/ESP 协议 、 维 护 策略 库 (SPD) 、 维 
护 安全 联盟 SA(CSecurity Association) 。 在 结构 图 中 包括 密 钥 库 模块 和 报 文 封装 模块 。 
密 钥 库 模块 实现 了 上 面 的 SPD 和 SA 部 分 , 它 决 定 IPSec 服务 所 使 用 的 算法 并 放置 服务 
所 需 密 钥 到 相应 位 置 。 

IPSec 驱动 模块 在 系统 内 核 运 行 , 支 持 传输 模式 和 隧道 模式 两 种 安全 工作 模式 。 完 
成 AH 协议 和 ESP 协议 处 理 , 按 照 IPSec 协议 标准 对 适当 的 数据 包 进 行 封 装 和 解 封 操 
作 。 实 现 安全 关联 库 和 安全 策略 库 , 具 有 与 IKE 服务 程序 的 通信 接口 ,能够 响应 IKE 服 
务 程序 的 命令 消息 ,刷新 安全 关联 库 的 内 容 , 同 时 也 能 够 向 IKE 服务 程序 发 送 命令 请 求 
信息 。 实 现 验证 算法 和 加 密 算法 ,提供 算法 的 API 调用 接口 。 

可 以 把 IPSec 看 作 是 位 于 TCP/IP 协议 栈 的 下 层 协 议 。 该 层 由 每 台 机 器 上 的 安全 策 
略 和 发 送 、 接 受 方 协商 的 安全 关联 SA 进行 控制 。 安 全 策略 由 一 套 过 滤 机 制 和 关联 的 安 
全 行为 组 成 。 如 果 一 个 数据 包 的 卫 地 址 ,协议 和 端口 号 满足 一 个 过 滤 机 制 , 那 么 这 个 数 
据 包 将 要 遵守 关联 的 安全 行为 。 

4. 报 文 封装 模块 

该 模块 具体 实现 IPSec 功能 的 ESP 协议 处 理 。 从 SA 中 得 到 加 密 算法 和 密 钥 , 对 数 
据 包 进行 组 织 , 把 需要 加 密 的 报 文 以 及 加 密 算法 、 加 密 密 钥 等 传送 到 加 密 卡 驱动 ,由 加 密 
卡 完成 加 解密 操作 。 当 加 解密 操作 完成 后 ,取出 报 文 ,并 将 报 文 按照 既定 的 策略 发 送 。 

5. 加 密 卡 驱动 

加 密 卡 启动 及 初始 化 后 ,加 密 卡 驱 动 可 管理 用 户 提交 的 宏 指 令 ,驱动 会 将 IPSec 内 核 
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模块 下 发 的 各 种 命令 提交 加 密 卡 执行 。 然 后 加 密 卡 负责 解释 和 执行 用 户 发 出 的 命令 , 且 
返回 该 命令 的 执行 状态 。 


_ 安全 管理 子 系统 的 设计 和 实现 


安全 管理 子 系统 包含 主客 体 标 识 管理 .授权 管理 .策略 管理 等 部 分 ,是 四 级 安全 应 用 
平台 安全 策略 部 署 和 控制 的 中 心 ,其 部 署 的 安全 策略 则 是 连接 各 安全 部 件 和 各 安全 保障 
层面 的 纽带 。 

其 具体 的 设计 如 下 所 述 。 

@ 提供 用 户 标记 管理 功能 ,为 系统 中 的 各 用 户 配置 安全 级 别 和 安全 范畴 。 

@ 提供 客体 标记 管理 功能 ,为 系统 中 与 安全 业务 相关 的 客体 设 定安 全 标记 。 安 全 标 
记 包括 与 文件 名 直接 相关 的 安全 标识 .目录 安全 标识 、. 道 配 符 格 式 的 安全 标识 等 类 型 。 同 
时 提供 安全 标识 中 安全 级 别 的 修改 接口 , 供 人 工 参 与 安全 级 别 的 制定 和 更 改 。 

图 提供 授权 管理 界面 ,安全 管理 子 系 统 提供 授权 模板 维护 强制 访问 控制 表 和 自主 访 
问 控制 表 , 将 对 特定 客体 的 读 、 写 执行 等 权限 赋予 相应 的 用 户 。 对 应 用 流程 的 特定 位 置 进 
行 授权 ,制定 等 级 改变 策略 、 网 络 访问 控制 策略 等 。 

安全 管理 子 系统 的 实现 如 下 所 述 。 

@ 生成 访问 策略 库 。 访 问 策略 库 是 将 用 户 与 用 户 能 够 访问 的 客体 资源 结合 起 来 所 
形成 的 一 个 访问 控制 策略 表 , 目 前 使 用 BLP 策略 模型 .Biba 策略 模型 和 二 维 标识 策略 模 
型 ,安全 管理 子 系统 根据 应 用 的 安全 策略 配置 ,生成 访问 策略 设置 ,并 将 访问 策略 设置 与 
策略 配置 功能 所 生成 的 用 户 身份 配置 ,文件 标识 配置 以 及 可 信 接 人 策略 和 可 信 进 程 名 单 
等 组 装 发 送 到 各 安全 部 件 中 。 

@ 策略 请 求 和 处 理 。 策 略 请 求 和 处 理 是 将 设 定 客体 安全 级 别 的 特权 和 该 特权 所 授 
予 的 用 户 身 份 结合 起 来 所 形成 的 一 个 特权 列表 ,该 列表 项 目 来 源 于 各 用 户 提 出 的 主客 体 
安全 级 别 修改 请 求 和 自主 访问 控制 策略 申请 ,反映 待定 安全 级 别 的 客体 资源 属性 和 可 定 
级 主体 范围 ,并 将 该 列表 发 放 到 相应 拥有 定 级 权限 的 主体 。 

根据 上 述 的 安全 功能 要 求 ,安全 管理 子 系统 的 实现 指标 见 表 4-5。 


表 4-5 安全 管理 子 系统 实现 指标 


指标 类 型 | ”指标 项 目 指标 具体 内 容 


为 用 户 提供 直观 的 配置 界面 ,配置 包括 用 户 身份 对 应 的 安全 级 别 、 用 户 属 
主体 标识 管理 | 性 等 信息 
能 够 检查 用 户 属性 和 安全 级 别 的 合 规 性 


标识 管理 提供 模板 编辑 方式 的 应 用 文件 标识 管理 ,模板 提供 一 组 文件 标识 方法 ,其 

中 文件 名 的 部 分 字段 可 以 用 变量 方式 表示 ,由 管理 子 系统 为 变量 赋值 , 变 
客体 标识 管理 | 基 表 示 应 用 的 具 休 部署 方法 ,包括 应 用 部 署 宙 器 .目录 、 配 置 等 信息 
标识 管理 配置 界面 也 可 以 直接 对 文件 进行 标识 配置 ,包括 文件 的 安全 级 
别 、 完 整 性 级 别 和 范畴 
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续 表 
指标 类 型 | ”指标 项 目 指标 具体 内 容 


以 手工 编辑 的 方式 生成 强制 访问 控制 列表 、 自 主 访问 控制 列表 特权 列表 
文件 (特权 列表 文件 和 应 用 所 需 特权 相对 应 ), 并 提供 授权 管理 界面 ,由 安 
授权 管理 | 授权 管理 全 管理 员 决 定 特权 应 授予 哪个 用 户 

执行 特权 授予 时 ,应 能 够 检查 支撑 应 用 执行 的 必要 特权 是 否 全 部 授予 相 
关 用 户 ,并 可 以 检查 特权 所 授予 的 用 户 是 否 拥有 获取 该 特权 的 权限 


安全 管理 子 系统 维护 一 个 访问 策略 数据 库 ,存储 用 户 权限 、 客 体 标识 的 各 
种 信息 ,并 可 以 根据 访问 策略 设置 情况 ,与 可 信 网 络 连接 和 可 执行 代码 预 
期 值 策略 等 组 装 ,为 每 台 机 器 生成 访问 策略 配置 文件 

安全 管理 子 系统 可 以 通过 密码 协议 保护 的 网 络 通信 将 对 应 机 器 的 访问 策 
略 配置 文件 发 送 给 各 机 器 的 安全 操作 系统 环境 


安全 管理 子 系统 接收 和 存储 用 户 提出 主客 体 标记 申请 和 安全 策略 请 求 的 
各 种 信息 ,并 可 以 转交 给 特权 机 构 ( 用 户 ) 审 核 和 批复 

策略 请 求 处 理 | 安全 管理 子 系统 可 以 通过 密码 协议 保护 的 网 络 通信 将 对 应 机 器 的 策略 请 
求 发 送 给 安全 管理 子 系统 ,而 安全 管理 子 系统 通过 代理 发 送 给 定 级 机 构 
处 理 并 返回 处 理 结果 


策略 文件 的 生 
成 和 下 发 


策略 管理 


安全 管理 子 系统 分 为 安全 管理 界面 子 模 块 、 授 权 管 理子 模块 ,标记 管理 子 模块 .策略 
管理 子 模块 、 审 计 管理 子 模块 .策略 下 载 请 求 处 理 模 块 ,以 及 策略 请 求 处 理子 模块 。 结 构 
如 图 4-7 所 示 。 


安全 管理 子 系统 
策略 服务 器 


主体 标 | 客体 标 
记 列表 | 记 列 表 


务 安全 操作 系统 


4-7 安全 管理 子 系统 模块 结构 


安全 管理 子 系统 需 连 接 到 系统 环境 中 。 安 全 管理 界面 子 模块 为 安全 管理 员 提 供 各 项 
安全 管理 功能 配置 接口 ,根据 三 权 分 立 原则 体现 安全 管理 员 所 拥有 的 权限 和 职责 。 授 权 
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模块 完成 对 用 户 相关 权限 的 管理 ,标识 管理 模块 负责 安全 管理 中 心 所 辖 的 所 有 主客 体 资 
源 的 标记 ,策略 管理 子 模块 提供 的 接口 函数 负责 安全 策略 的 制定 和 维护 ,同时 负责 安全 策 
略 服务 器 的 管理 和 维护 。 策 略 请 求 处 理 模 块 接收 主客 体 标记 和 授权 请 求 信息 ,然后 将 请 
求 用 户 提出 的 策略 请 求 信息 转发 给 特权 用 户 或 特权 机 构 , 由 这 些 特权 用 户 对 客体 安全 标 
识 进行 设 定 , 返 回 给 策略 请 求 处 理 模块 ,然后 提交 给 策略 管理 模块 完成 策略 服务 器 中 策略 
内 容 的 更 新 ;安全 策略 由 策略 服务 器 的 策略 下 载 模块 发 送 给 安全 管理 子 系统 管辖 的 节点 、 
区 域 边 界 和 网 络 设备 。 安 全 管理 员 的 操作 行为 被 审计 模块 记录 并 发 送 给 审计 服务 器 。 


审计 子 系统 用 于 存储 和 处 理 总 系统 中 的 所 有 审计 信息 ,审计 员 可 以 在 安全 管理 中 心 
上 查看 审计 信息 ,其 设计 和 实现 如 下 所 述 。 

Q@ 生成 审计 策略 并 发 放 。 使 用 安全 管理 中 心 提供 的 审计 策略 设置 界面 ,使 审计 管理 
员 可 以 选择 四 级 安全 应 用 平台 不 同 范畴 中 的 主客 体 访问 审计 级 别 , 并 与 访问 策略 、 等 级 检 
查 策略 相配 合 , 生 成 具体 的 审计 策略 ,将 该 策略 发 放 给 对 应 的 安全 部 件 。 

@ 接收 、 存 储 审计 信息 。 接 收 从 安全 部 件 传 来 的 审计 信息 ,并 进行 存储 和 处 理 。 

@ 查询 审计 信息 。 使 用 安全 管理 中 心 提供 的 审计 界面 将 审计 信息 直观 地 提供 给 安 
全 审计 员 ,并 提供 简单 的 审计 信息 分 类 查询 功能 。 

审计 子 系统 实现 的 功能 指标 见 表 4-6 所 示 。 

表 4-6 审计 子 系统 实现 的 功能 指标 
指标 类 型 指标 项 目 指标 具体 内 容 

审计 策略 配置 界面 ,对 系统 中 不 同 范畴 的 审计 级 别 进行 设 泗 
审计 子 系统 可 以 根据 审计 级 别 和 应 用 安全 策略 ,确定 所 要 审计 的 
具体 操作 情况 ,为 各 台 机 器 生成 审计 策略 配置 文件 


审计 子 系统 可 以 通过 密码 协议 保护 的 网 络 通信 将 对 应 机 器 的 审计 
策略 配置 文件 发 送 给 各 机 器 的 安全 操作 系统 环境 


审计 子 系统 可 以 通过 密码 协议 保护 的 网 络 通信 接收 对 应 机 器 的 审 
审计 信息 的 浏览 | 计 信息 

和 查询 审计 子 系统 可 以 根据 日 期 ,范畴 审计 级 别 向 安全 管理 中 心 提供 审 
计 信息 查询 

审计 信息 的 接收 | 审计 子 系统 可 以 接收 其 他 子 系统 的 审计 信息 ,并 进行 存储 


审计 策略 的 生成 
和 发 放 


滴 嘛 竺 导 


审计 子 系统 由 节点 审计 代理 模块 、 审 计 服 务 器 、 审 计 信 息 查 询 模 块 、 审 计策 略 管理 模 
块 .审计 信息 分 析 模 块 组 成 ,如 图 4-8 所 示 。 

节点 审计 代理 模块 向 审计 服务 器 发 送审 计 信息 ,并 接收 审计 服务 器 下 发 的 审计 策略 ， 
供 节点 子 系统 、 边 界 子 系统 、 网 络 子 系统 和 安全 管理 中 心 子 系统 等 使 用 。 

审计 服务 器 : 接收 节点 审计 模块 发 来 的 审计 信息 ,进行 存储 和 使 用 ,接收 审计 查询 模 
块 的 查询 请 求 ,并 返回 查询 结果 ;接收 审计 策略 配置 模块 的 策略 配置 信息 ,修改 审计 策略 。 
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审计 信息 查询 模块 : 向 审计 服务 器 发 送 查 询 信息 ,并 接收 查询 结果 , 供 安全 管理 中 心 
显示 。 

审计 信息 分 析 模 块 : 对 重要 审计 信息 进行 分 析 并 报警 。 

审计 策略 管理 模块 : 向 审计 服务 器 发 送 策略 配置 信息 。 


审计 了 系统 安全 审计 员 
| 审计 服务 器 “| | 审计 管理 台 | | 
| [tm ' | 管理 界面 模块 
1 
| | 1 1 | 
| 审计 信息 | | ! 审 市 ! 
| be lL 人 | 
计 日 百 1 
1 息 | ， 
_1 | | 信息 | | 策略 | = 上 | 管理 分 查 | 1 
[| 1 处 理 | | 下 发 | 王 站 | 模 张 | | 区 
| | 模 续 | | 入 块 | 机 |! 
Le 
审 ! 4 _f 1 
让 2 (ps | 
理 安全 操作 系统 
ES 过 


图 4-8 审计 子 系统 模块 结构 


典型 应 用 子 系统 的 设计 和 实现 


网 站 防护 子 系统 由 恶意 代码 主动 防御 模块 、 网 页 文件 过 滤 驱 动 模块 .SQL 注 和 过滤 
模块 、 网 络 行为 监测 和 审计 模块 、 网 络 服务 应 用 区 域 边界 防护 模块 和 安全 管理 中 心 模 块 六 
部 分 组 成 ,如 图 -9 所 示 。 


恶意 代码 主动 | | 网 页 文件 过 湛 | | SQL 注入 | | 网 络 行为 监测 | | 风 综 蜡 芝 局 几 
防御 模块 ”| | 驱动 模 决 过 起 模块 ”| | 和 审计 模块 | | 到 机 关 
t | 
了 


安全 管理 中 心 


图 4-9 网 站 防护 子 系统 组 成 


@ 恶意 代码 主动 防御 模块 : 利用 信任 链 机 制 , 对 系统 中 所 有 装载 的 可 执行 文件 代码 
《例如 ,EXE、DLL、COM 等 ) 进 行 控制 ,所 有 可 执行 文件 代码 在 加 载运 行 之 前 都 需要 先 检 
验 , 只 有 通过 验证 的 代码 才 可 以 加 载 。 
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@@ 网 页 文件 过 滤 驱 动 模块 : 网 站 管理 员 可 以 自行 选择 将 需要 保护 的 网 页 文件 设 定 
为 受 控 对 象 ,对 于 每 一 个 受 保护 的 对 象 ,管理 员 为 其 设 定 一 个 对 象 相关 授权 码 。 对 象 相关 
保护 方式 是 一 种 不 基于 系统 用 户 身 份 的 访问 控制 技术 ,对 于 所 有 受 保护 的 对 象 ,网 站 防护 
系统 在 操作 系统 内 核对 其 加 以 保护 ,在 不 知道 对 象 相关 授权 码 的 情况 下 ,即使 是 系统 管理 
员 , 系 统 也 禁止 其 对 受 保护 对 象 ( 比 如 主页 ) 的 任何 特定 操作 ,比如 修改 内 容 、 删 除 、 重 命名 
等 。 通 过 对 象 相关 保护 方式 ,即使 攻击 者 拿 到 系统 管理 员 的 权限 ,由 于 不 知道 受 控 对 象 的 
授权 码 , 因 而 也 无 法 对 其 进行 修改 ,从 而 可 以 有 效 阻止 溢出 类 攻击 对 系统 静态 网 页 的 
算 改 。 

@ SQL 注入 过 滤 模 块 : 网 站 防护 系统 可 以 通过 高 效 的 URL 过 滤 技 术 , 把 SQL 注入 
的 关键 字 过 滤 掉 ,从 而 有 效 避 免 网 站 服务 器 受到 SQL 的 注入 攻击 。 

图 网 络 行为 监测 和 审计 模块 : 在 网 络 传输 层面 根据 等 级 保护 基本 要 求 , 从 网 络 层面 
对 网 络 行为 进行 监控 和 审计 。 

@@ 网 络 服务 应 用 区 域 边界 防护 模块 : 阻止 传统 的 非法 网 络 访问 ,提高 网 站 服务 系统 
的 可 用 性 ;满足 第 四 级 网 站 系统 的 结构 化 要 求 , 从 而 防止 因为 这 些 设备 存在 安全 缺陷 导致 
被 内 部 或 外 部 攻击 旁 路 ;实现 第 四 级 网 站 系统 和 因特网 这 两 个 安全 域 之 问 的 安全 隔离 ;对 
接 人 系统 的 计算 平台 进行 可 信和 验证 和 接 人 控制 ,确保 接 人 系统 的 平台 符合 系统 安全 策略 。 
安全 管理 中 心 负责 系统 安全 策略 的 制定 .分 发 和 维护 ,并 集中 对 系统 审计 信息 进行 管理 ; 
安全 管理 策略 包括 主客 体 安全 级 别 的 定义 、 系 统 审 计 规 则 、 安 全 管道 封装 策略 等 。 安 全 管 
理 中 心 的 另 一 个 功能 是 对 信息 进行 安全 审查 ,调整 信息 安全 级 别 ,比如 ,支持 低 安 全 级 别 
的 信息 经 过 安全 审查 后 ,可 以 提高 其 安全 级 别 ;安全 管理 中 心 同样 以 可 信 计 算 平台 技术 为 
实现 基础 。 其 包含 的 子 系统 如 以 下 各 节 所 述 。 


4.8.1 恶意 代码 主动 防御 子 模块 的 设计 


恶意 代码 主动 防御 子 模块 义 分 为 可 执行 代码 一 致 性 校 验 和 移动 代码 类 验证 两 个 
部 分 。 


1. 可 执行 代码 一 致 性 校 验 模块 设计 

系统 服务 、 系 统 自 启 动 程序 运行 后 ,根据 用 户 的 不 同 需 求 ,需要 加 载 不 同 的 Windows 
应 用 程序 ,为 防止 系统 被 恶意 代码 的 攻击 ,需要 在 操作 系统 加 载运 行 后 对 被 加 载 的 应 用 程 
序 ( 包 括 . dll 和 . exe 等 文件 ) 的 真实 性 和 完整 性 进行 验证 ,以 确保 恶意 代码 不 会 被 动态 装 
入 到 系统 之 中 。 在 对 应 用 程序 的 真实 性 和 完整 性 验证 方面 ,本 方案 采取 通过 Hook 实现 
方法 对 系统 中 每 一 个 要 加 载 的 可 执行 代码 加 以 验证 ,只 有 符合 安全 策略 的 可 执行 代码 才 
能 真正 被 系统 执行 。 在 具体 实现 上 ,可 以 通过 对 系统 函数 Createprocess() 和 Loadlibrary() 
进行 Hook, 从 而 对 系统 加 载 和 运行 的 应 用 程序 加 以 验证 ,验证 过 程 中 的 主要 验证 依据 是 
一 个 可 信 程 序 白 名 单 (Trusted Software List, TSL) ,在 该 名 单 中 列 出 了 系统 所 有 可 信 的 
可 执行 代码 文件 及 其 完整 性 校 验 值 。 在 系统 装载 可 执行 代码 之 前 ,应 对 被 加 载 文件 的 完 
整 性 校 验 值 进行 验证 ,并 在 TSL 中 查询 是 否 存在 对 应 项 目 , 如 果 没 有 , 则 系统 不 会 加 载运 
行 该 可 执行 代码 。 验 证 的 实现 过 程 如 图 4-10 所 示 。 
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图 4-10 通过 Hook API 实现 应 用 装载 模块 验证 


在 操作 系统 可 信和 启动 的 基础 上 ,通过 动态 多 路 径 信任 链 (DMPTC) 机 制 , 既 能 保证 终 
端 平台 的 安全 可 信 , 又 能 保证 终端 平台 服务 支持 和 应 用 选择 的 灵活 性 和 实用 性 。 
DMPTC 验证 采用 强制 型 策略 机 制 : 所 有 安全 验证 策略 ( 即 TSL) 由 独立 的 系统 安全 管理 
平台 制定 并 分 发 给 各 个 用 户 操作 终端 。 图 4-11 给 出 了 DMPTC 模型 的 结构 图 。 
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i | 1 图 例 | ] 
安全 可 信 根 用 户 终端 | 一 一 代码 控制 传递 


图 4-11 DMPTC 模型 结构 


在 DMPTC 模型 中 ,TSL 的 真实 性 可 以 通过 安全 管理 人 员 的 私 钥 签名 机 人 制 来 保证 。 


2. 移动 代码 (宏和 脚本 ) 类 验证 模块 设计 

除了 可 执行 程序 的 一 致 性 校 验 工作 之 外 ,脚本 和 宏 等 解释 执行 的 代码 同样 需要 进行 
来 源 和 完整 性 的 验证 。 互 联网 的 飞速 发 展 使 人 们 越 来 越 依赖 于 网 络 中 的 信息 ,但 是 ,通常 
情况 下 这 些 信 息 并 不 是 纯 数 据 , 而 是 包含 着 可 执行 代码 的 数据 。 代 码 以 多 种 方式 混杂 在 
数据 中 ,例如 网 页 中 的 脚本 (Cscript) 、 文 档 和 电子 邮件 中 的 宏 (macros) 等 人 
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程序 通常 被 称 为 移动 代码 (mobile-code) 。 移 动 代码 在 给 使 用 者 带 来 极 大 便利 的 同时 ,也 
带 来 了 极 大 的 安全 风险 。 其 中 ,对 恶意 移动 代码 (诸如 恶意 脚本 、 宏 病毒 等 ) 的 控制 一 直 是 
业界 难以 解决 的 问题 。 

可 以 采取 以 下 几 种 方式 对 脚本 和 宏 代 码 实施 控制 。 

(1) 控制 独立 存在 和 执行 的 脚本 

Windows 的 WSH 服务 负责 解释 和 执行 以 VBS 和 JS 为 后 缀 的 脚本 文件 ,通过 在 
WSH 服务 的 两 个 进程 (Wscript. exe 和 Cscript. exe) 中 增加 安全 验证 模块 ,使 其 能 够 
在 执行 前 对 脚本 的 数字 签名 进行 验证 ,从 而 只 允许 具有 管理 中 心 合 法 签名 的 脚本 获 
得 执行 。 

为 了 对 合法 脚本 文件 进行 标识 ,本 方案 在 管理 中 心 增加 数字 签名 模块 ,在 合法 的 脚本 
文件 中 增加 管理 中 心 的 数字 签名 ,将 签名 以 注释 形式 存放 于 脚本 代码 中 ,增加 的 签名 不 影 
响 脚 本 原 有 代码 的 正常 执行 。 

这 种 方式 控制 的 对 象 是 以 独立 文件 形式 存在 于 系统 的 脚本 中 , 由 于 这 类 脚本 并 不 内 
骨 于 网 页 和 应 用 文档 中 ,没有 跨 平 台 特 征 , 因 此 能 够 有 效 避 免 恶意 脚本 的 攻击 。 

(2) 控制 Office 中 的 宏 

Office 软件 已 经 具有 对 脚本 和 宏 的 安全 限制 ,Office XP 应 用 程序 宏 安 全 性 的 选项 如 
下 所 述 。 

@ 高 : 只 允许 运行 来 源 可 靠 的 签名 宏 ,自动 禁用 未 签名 的 宏 。 

@ 中 : 可 以 选择 是 否 运 行 潜在 不 安全 的 宏 。 当 打开 包含 宏 的 文档 时 ,就 会 要 求 确认 
是 否 运行 这 些 宏 。 

@ 低 : 运行 所 有 的 宏 , 而 不 给 出 任何 安全 警告 。 

Office 原 有 机 制 对 以 上 安全 级 别 设置 是 自主 型 的 ,本 方案 将 其 安全 级 别 固定 为 高 级 
别 , 之 后 不 允许 任何 进程 修改 其 安全 级 别 , 这 样 一 来 ,具有 可 靠 来 源 数 字 签 名 的 宏 就 会 被 
允许 执行 ,没有 数字 签名 的 宏 将 被 禁止 执行 ,而 其 他 具有 数字 签名 的 宏 在 执行 前 ,系统 将 
对 用 户 进行 提示 以 决定 是 否 执行 ,如 图 4-12 所 示 。 


4-12 系统 将 对 用 户 进行 提示 
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4.8.2 网 页 文件 过 滤 驱 动 保护 子 模块 的 设计 


Windows 系统 是 一 种 自主 型 访问 控制 系统 ,这 类 系统 主要 服务 于 个 人 系统 。 但 是 ， 
在 政府 和 企业 等 生产 型 系统 中 ,自主 型 访问 控制 机 制 不 能 适应 这 类 应 用 系统 的 组 织 和 业 
务 结构 ,难以 完全 满足 业务 应 用 对 多 级 安全 访问 控制 的 安全 需求 。 

自主 型 访问 控制 系统 的 另 一 个 安全 局 限 性 表现 为 其 难以 阻止 溢出 类 黑客 攻击 。 溢 出 
类 黑客 攻击 是 目前 最 主要 的 ,也 是 危害 性 最 大 的 安全 攻击 类 型 之 一 。 溢 出 类 攻击 中 ,黑客 
可 以 通过 系统 漏洞 获取 系统 管理 员 权 限 。 目 前 , Windows 的 安全 机 制 无 法 识别 并 阻止 黑 
客 的 这 类 攻击 行为 。 在 Windows 的 安全 增强 设计 方案 中 ,我 们 提出 了 一 种 与 用 户 身份 无 
关 的 访问 控制 机 制 一 一 对 象 相关 (Object-Specific) 访 问 控制 机 制 , 它 是 一 种 不 基于 用 户 身 
份 的 访问 控制 机 制 , 可 以 对 系统 或 应 用 的 重要 数据 和 资源 进行 保护 ,即使 是 系统 管理 员 ， 
只 要 没有 授权 ,也 无 法 访问 特定 的 对 象 。 

对 象 相 关 访 问 控制 主要 是 针对 利用 溢出 类 的 黑客 攻击 。 对 象 相关 保护 方式 是 一 种 不 
基于 访问 用 户 身 份 的 访问 控制 技术 , 它 运行 在 系统 内 核 。 对 于 每 一 个 受 保护 的 对 象 ,对 象 
所 有 者 为 其 设 定 一 个 对 象 相关 授权 码 ,在 不 知道 对 象 相关 授权 码 的 情况 下 ,即使 是 系统 管 
理 员 ,系统 也 禁止 其 对 于 受 保护 对 象 ( 比 如 主页 ) 的 任何 特定 操作 ,例如 修改 内 容 、 删 除 、 重 
命名 等 。 

由 于 对 象 相关 的 数据 保护 与 访问 用 户 身 份 无 关 , 因 此 ,通过 对 象 相 关 的 数据 保护 方式 
可 以 有 效 阻止 溢出 类 攻击 对 系统 重要 文件 和 用 户 重 要 数据 的 窃取 和 自 改 。 例 如 , Web 防 
算 改 保护 ,对 网 页 数据 以 及 Web 服务 (例如 ,IIS、APACHE) 的 相关 配置 文件 也 采用 此 方 
式 进行 保护 ,以 防止 通过 修改 配置 文件 达到 算 改 网 页 的 目的 。 

虽然 对 象 相关 访问 控制 不 能 消除 基于 系统 漏洞 的 攻击 ,但 是 , 它 可 以 减少 黑客 攻击 给 
系统 带 来 的 危害 程度 。 


4.8.3 网 站 服务 应 用 区 域 边界 防护 


网 站 服务 应 用 区 域 边界 措施 包括 可 信 防 火 墙 和 可 信 网 站 安全 服务 网 关 。 其 中 ,防火 
墙 可 以 有 效 减少 进入 系统 的 网 络 流量 ,除了 阻止 传统 的 非法 网 络 访问 外 , 它 还 可 以 提高 网 
站 服务 系统 的 可 用 人 性。 可 信 防 火 墙 和 可 信 网 站 安全 服务 网 关 要 基于 可 信 计 算 平 台 技术 来 
实现 ,满足 第 四 级 网 站 系统 的 结构 化 要 求 , 从 而 防止 因为 这 些 设 备 存 在 安全 缺陷 而 导致 被 
内 部 或 外 部 攻击 旁 路 。 可 信 网 站 安全 服务 网 关 的 另 一 个 作用 是 实现 第 四 级 网 站 系统 和 因 
特 网 这 两 个 安全 域 之 间 的 安全 隔离 。 应 用 区 域 边界 的 另 一 个 安全 措施 建议 是 对 接 人 系统 
的 计算 平台 进行 可 信和 验证 和 接 人 控制 ,确保 接 人 系统 的 平台 符合 系统 的 安全 策略 。 

网 络 接 人 控制 可 以 通过 平台 可 信 证 明 机 制 来 实现 ,保证 接 人 系统 的 各 个 计算 平台 在 
安全 策略 上 保持 一 致 ,比如 对 安全 标记 解释 的 一 致 性 、 对 安全 策略 执行 的 一 致 性 等 。 在 本 
方案 中 ,建议 将 系统 安全 策略 作为 平台 可 信和 度量 和 验证 的 一 个 基础 性 指标 。 

可 信 网 站 安全 服务 网 关 是 针对 网 站 服务 系统 安全 特性 的 应 用 区 域 边 界 措施 ,是 另 一 
种 类 型 的 安全 管道 封装 技术 ,包括 动 网 信息 的 安全 人 性。 网关 对 用 户 提交 信息 进行 安全 审 
查 ,防止 SQL 注 人 和 跨 站 类 攻击 的 发 生 ; 同 时 还 对 DDOS/DOS 攻击 有 抵制 功能 。 
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示范 环境 功能 使 用 操作 演示 


1. 发 行 用 户 硬件 令 牌 
发 KEY 操作 只 能 在 安全 管理 平台 所 在 的 机 器 上 进行 ,如 图 4-13 所 示 。 


图 4-13 发 KEY 操作 界面 


2. 安全 管理 员 制 定 策略 
单 击 左边 操作 栏 “策略 管理 "下 的 “范畴 管理 ?选项 ,进入 范畴 管理 主 界面 制定 策略 ,如 
图 4-14 所 示 。 


图 4-14 安全 管理 员 制 定 策略 界面 
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.4.9 示范 环境 功能 使 用 操作 演示 


3. 安全 管理 员 可 执行 代码 预期 值 授 权 
安全 管理 员 将 可 执行 程序 列表 中 的 合法 程序 执行 权限 授予 相应 的 用 户 , 如 图 4-15 
所 示 。 


图 4-15 ”安全 管理 员 可 执行 代码 预期 值 授 权 界面 


4. 设置 平台 状态 
进入 平台 运行 状态 主 界面 设置 平台 状态 ,如 图 4-16 所 示 。 


图 4-16 设置 平台 状态 主 界面 
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5. 审计 管理 操作 
安全 审计 员 正 常 登录 系统 ,进入 审计 管理 主 界面 进行 审计 ,如 图 4-17 所 示 。 


图 4-17 审计 管理 操作 主 界面 


6. 强制 访问 控制 策略 授权 
将 文件 访问 操作 权限 授予 相应 用 户 , 加 入 强制 访问 控制 列表 ,如 图 4-18 所 示 。 


| 


人 


图 4-18 强制 访问 控制 策略 授权 界面 
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二 、 三 、 四 级 安全 应 用 
平台 功能 符合 性 检验 工 
具 集 的 使 用 


”总 体 结构 


安全 功能 符合 性 检验 工具 集 的 目的 是 针对 安全 应 用 平台 进行 功能 的 审核 和 检验 。 安 
全 应 用 平台 分 别 从 安全 计算 环境 .安全 区 域 边界 、 安 全 通信 网 络 和 安全 管理 中 心 四 个 方面 
进行 搭建 ,安全 功能 符合 性 检验 工具 集 针 对 四 个 方面 的 功能 点 进行 审核 检验 。 可 以 说 安 
全 功能 符合 性 检验 工具 集 是 一 个 针对 信息 系统 安全 功能 的 检验 ,各 个 安全 功能 具体 由 功 
能 点 和 功能 要 素 得 到 体现 。 

安全 功能 符合 性 检验 工具 集 若 要 完成 如 上 提出 的 功能 检验 ,不 可 或 缺 的 部 分 就 是 信 
息 系统 检验 功能 的 分 界 。 这 一 映射 功能 在 考虑 功能 的 同时 ,更 应 该 紫 紫 围绕 GB 17859 一 
1999 的 功能 规定 ,借助 功能 要 素 完成 功能 映射 。 同 时 为 了 达到 GB 17859 一 1999 规定 的 
功能 要 求 , 在 映射 过 程 中 应 参考 等 级 保护 相关 标准 完成 系统 扩展 功能 的 功能 要 素 映 射 。 
可 见 , 安 全 功能 符合 性 检验 工具 集 依据 GB 17859 一 1999, 同 时 融合 其 他 相关 标准 ,具备 信 
息 系 统 到 安全 功能 映射 的 一 个 检验 工具 集 , 是 一 个 既 可 以 对 信息 系统 安全 功能 ,又 可 以 对 
特定 安全 功能 进行 检验 的 工具 集 。 

安全 功能 符合 性 检验 工具 集 的 总 体 结构 如 图 5-1 所 示 。 检 验 工具 集 针 对 各 个 功能 的 
检验 道 过 三 个 子 模块 来 完成 ,分 别 是 : 数据 获取 子 模块 .数据 分 析 ( 检 验 ) 子 模块 和 数据 处 
理子 模块 。 其 中 数据 获取 部 分 可 以 通过 网 络 数据 获取 或 本 地 数据 获取 的 方式 收集 安全 应 
用 平台 中 各 子 系统 的 交互 数据 ;数据 分 析 则 在 数据 获取 的 基础 上 ,与 人 工 检查 的 方式 相 结 
合 , 通 过 半自动 化 的 方式 对 各 个 检验 项 的 符合 性 进行 检验 ,重点 是 数据 分 析 的 方法 和 流 
程 ;数据 处 理 则 是 对 获取 的 数据 和 检验 结果 的 存储 ,重点 是 解决 数据 获取 与 数据 分 析 之 间 
的 数据 交互 以 及 数据 分 析 结 果 的 处 理 问 题 。 
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poy 计算 域 4 计算 域 4 ”| 安全 
妆 生 计生 央 人 区 域 边界 通信 网 络 。 | 计算 城 刀 
[im 人 
水 计算 节点 2-LIN | | 
| 计算 节点 1-WIN 获取 | | 1! | 
加 和 1 区 通 完 将 | | | 
系 谱 | 1 | 获取 应 用 系 | !_ 获取 应 用 系 域 信 性 保 门 二 -一 
统 | 于 系 | 。 | 统 运行 数据 | 六 | 统 审计 数据 边 网 | 密 性 || 1 | 
并 上 半 = a 界 络 | 策略 || | | 
所 上 到、 数 数 | | 
| 4 1 吕 ,| 获取 安全 策 |! 1_ | 获取 安全 策 | 过 二 和气 于 据 | 
获 | 下 性 赂 控制 列 表 || 人” 略 控 制 列表 | 站 获 | "家 人 

| 县 I 人 
入 天 | 数 - [ 居 本 | | | 各 取 客体 | 数 代 | 用 | | | 
一 | 条 示 记 列表 i 记 列 表 | 通信 -1 一 一 一 
统 芭 标记 列表 1 标记 列表 改 理 理 | 传输 
! 取 | 获取 安全 市 |! ! | 获取 安全 市 | 下 数据 || | | 
1 代 ”| 计 信 息 列表 |! ”| 计 信息 列表 | | 
1 理 一 |) Eco | f 
| | 
| | 
导出 安全 策略 导出 系统 管理 日 志 | 
EE | | 

1 , 
数据 收集 引擎 


数据 解析 引擎 


一 一 设计 要 求 
(系统 库 检验 策略 库 
二 


检验 项 目 初始 化 | = | 检验 点 选取 Ca) 


图 5-1 安全 功能 符合 性 检验 工具 集结 构 


安全 功能 符合 性 检验 工具 集 总 体 功 能 结构 如 图 5-2 所 示 。 检 验 工具 集 共 包含 数据 获 


取 、 数 据 导入、 项 目 管理 手工 检查 、 数 据 分 析 、 结 果 处 理 和 设计 要 求 检 验 策略 库 管理 七 个 


模块 。 
数据 获取 模块 负责 从 目标 系统 捕获 检验 过 程 中 所 需要 的 各 种 业务 数据 。3 


要 包含 数 


据 监 听 和 导出 数据 解析 两 个 模块 。 数 据 监听 模块 通过 接收 用 户 设 定 的 监听 参数 捕获 网 络 
中 的 数据 包 , 经 过 协议 过 滤 和 解析 后 对 数据 进行 保存 。 导 出 数据 解析 模块 根据 不 同类 型 
的 二 进 制 数 据 ,按照 应 用 平台 设计 要 求 中 所 定义 的 数据 结构 ,将 其 解析 为 检验 工具 集 内 部 


所 能 识别 的 数据 结构 。 
ae | D2 a 


安全 功能 符合 性 检验 工具 集 


数据 获取 模块 


一] 监听 设置 


数据 监听 


协议 解析 


一 | 数据 存储 


数据 读 取 


国 


导出 数据 解析 


数据 解析 


项 目 管理 模块 


[一 | 数据 导入 模块 


手 | 手工 检查 数据 | 


| 业务 数据 导入 ] 


E 一 一 一 J 项 目 信 


数据 存储 


nm 
Wi 


工 检查 方案 导出 


工 检查 结果 导入 


项 目 信息 创建 


项 目 信息 修改 


息 删 除 


[一 项 目 节点 添加 


项 目 节点 管理 | 一 -一 | 项 目 节点 修改 
要 古本 删除 
审计 事件 管理 项 目 节点 修改 
| 一 | 手工 检查 模块 | 一 | 珊 目 节点 开除 
| 导入 检查 方案 
一 一 
结果 查看 保存 
一 | 数据 分 析 模块 | 一 | cinux 节 点 子 系统 数据 分 析 
安全 计算 环境 | | 
一 一 = Windows 节 点 子 系统 数据 分 析 
安全 区 域 边界 
el 系统 管理 子 系统 数据 分 析 
安全 管理 中 心 | 
saad 计 管 理子 系统 
和 [一 | 审计 管理 子 系统 数据 分 析 
果 坦 看 
生成 报告 
设计 要 求 检验 
策略 库 管理 


图 5-2 安全 功能 符合 性 检验 工具 集 总 体 功能 结构 
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数据 导 人 模块 是 各 个 功能 子 模块 进行 数据 交互 的 接口 ,主要 包含 手工 检查 方案 导出 、 
手工 检验 结果 导 人 、 检 验 数 据 导 人 和 业务 数据 导 和 人 四 个 子 功能 。 检 验 数据 导 人 功能 负责 
在 检验 开始 前 将 设计 要 求 检 验 策略 库 中 的 检验 数据 导 人 到 项 目 数据 库 中 ,以 便 操作 员 根 
据 需 要 对 检验 要 素 进行 取舍 。 业 务 数据 导入 功能 负责 将 数据 获取 模块 生成 的 XML 格式 
的 业务 数据 导 人 到 项 目 数据 库 中 ,以 便 检 验 工 具 集 的 数据 分 析 模块 来 调用 分 析 。 

项 目 管理 模块 用 于 检验 工具 集 检 验 项 目的 初始 化 工作 。 包 含 项 目 信息 管理 项 目 节 
点 管理 以 及 事件 类 型 管理 三 个 子 模块 。 项 目 信息 管理 负责 添加 、 修 改 以 及 删除 项 目 信息 ， 
并 对 项 目 信息 指定 负责 人 以 及 设 定 是 否 为 当前 检验 项 目 。 项 目 节点 管理 主要 功能 是 管理 
当前 项 目 所 拥有 的 节点 信息 ,包含 计算 环境 及 其 子 节点 信息 、 区 域 边界 节点 信息 、 通 信和 网 
络 节 点 信息 以 及 管理 中 心 及 其 子 节点 信息 。 事 件 类 型 管理 主要 功能 是 导入 安全 应 用 平台 
设计 实现 时 所 定义 的 各 种 安全 设计 事件 ,并 将 这 些 审计 事件 与 检验 工具 集 内 部 所 定义 的 
事件 类 型 进行 关联 对 应 。 

手工 检查 模块 完成 手工 检验 要 素 的 检验 。 遂 过 导 人 当前 项 目的 手工 检查 方案 ,调用 
各 个 检验 要 素 的 检验 方法 和 检验 流程 ,指导 操作 人 员 完 成 手工 检验 ,并 将 检验 结果 保存 到 
手工 检查 方案 中 。 

数据 分 析 模块 的 主要 功能 是 调用 数据 获取 端 捕获 的 各 种 业务 数据 ,依据 特定 的 算法 
对 各 个 检验 要 素 进行 功能 符合 性 检验 。 主 要 包含 计算 环境 ` 区 域 边界 .通信 网 络 以 及 管理 
中 心 数 据 分 析 。 

结果 处 理 模块 的 主要 功能 是 对 数据 分 析 模 块 输出 的 数据 进行 统计 分 析 , 生 成 相应 的 
统计 图 ,并 对 检验 项 目 出 具 详细 的 检验 报告 。 

设计 要 求 检 验 策略 库 管理 模块 负责 对 设计 要 求 检验 策略 库 进 行 数据 维护 。 主 要 包含 
检验 项 管理 ,检验 类 管理 ,检验 要 素 以 及 方法 管理 。 


设计 与 实现 


5.3.1 数据 获取 模块 


1. 功能 概述 

数据 获取 模块 位 于 目标 系统 内 部 ,以 旁 路 的 方式 监听 安全 应 用 平台 各 个 子 系统 之 间 
的 通信 数据 。 数 据 获取 模块 是 进行 数据 采集 和 解析 的 必要 部 件 ,也 是 进行 数据 分 析 的 前 
提 。 数 据 获取 模块 的 主要 功能 是 实时 监听 解析 网 络 流量 数据 包 , 并 且 解 析 目 标 系统 导出 
的 业务 数据 。 

2. 设计 结构 

数据 获取 模块 为 检验 工具 集 提供 一 个 与 目标 系统 进行 数据 交互 的 接口 ,作为 一 个 音 


独 的 模块 运行 在 目标 系统 内 部 ,与 各 个 节点 子 系统 进行 旁 路 连接 。 数 据 获取 模块 的 功能 
主要 分 为 系统 管理 ,监听 设置 网络 数据 监听 和 数据 解析 四 个 部 分 。 其 中 数据 解析 包含 监 


si | BDA as: 


ea 


听 数 据 解析 和 导出 数据 解析 两 个 子 模块 。 具 体 功 能 结构 如 图 5-3 所 示 。 
(1) 系统 管理 


数据 获取 模块 作为 一 个 独立 运行 的 模块 ,拥有 自己 并 区 到 

的 图 形 用 户 界面 ,因此 需要 为 用 户 提供 一 个 简单 的 系统 让 F 下 由 

管理 功能 ,包括 系统 的 启动 .退出 等 。 统 | | 听 | | 络 | | 所 
(2) 监听 设置 生 | | 这 | | 天 | | 着 
监听 设置 负责 设置 网 络 监 听 时 系统 需要 用 户 选 择 或 监 

提供 的 各 种 参数 。 包 括 监听 数据 时 所 需 的 网 卡 名 称 , 数 

据 获取 模块 当前 所 部 署 的 节点 位 置 等 信息 。 图 5-3 数据 获取 模块 的 功能 结构 
(3) 网络 数据 监听 


网 络 数据 监听 是 数据 获取 模块 需要 完成 的 主要 功能 。 数 据 获取 模块 通过 调用 
winpcap 底层 驱动 程序 ,捕获 所 有 流 经 当前 网 卡 的 数据 包 。 并 将 捕获 的 数据 包 信息 及 时 
显示 在 用 户 界 面 中 。 当 用 户 触发 停止 监听 请 求 后 ,数据 获取 模块 自动 将 捕获 的 数据 包 信 
息 存 储 在 本 地 文件 中 。 

(4) 数据 解析 

数据 解析 包含 监听 数据 解析 和 导出 数据 解析 两 部 分 内 容 。 

@ 监听 数据 解析 

数据 获取 模块 在 进行 网 络 监听 时 会 对 所 捕获 的 数据 包 进 行 实时 解析 ,根据 数据 包 封 
装 协议 的 不 同 对 数据 包 进行 适当 过 滤 ,将 检验 工具 集 所 需要 的 数据 包 重 新 封装 成 工具 集 
内 部 的 数据 结构 ,并 存储 为 统一 格式 的 接口 文件 。 

加 导出 数据 解析 

检验 工具 集 所 需要 的 部 分 业务 数据 需要 以 管理 员 的 身份 从 目标 节点 子 系统 导出 。 而 
这 部 分 导出 数据 都 是 以 二 进 制 的 格式 进行 存储 ,不 能 直接 应 用 于 检验 工具 集 进行 数据 分 
析 , 因 此 需要 对 其 进行 进一步 的 解析 ,使 其 符合 检验 工具 集 内 部 的 数据 结构 。 导 出 数据 解 
析 根 据 不 同 的 数据 类 型 又 可 以 分 为 自主 访问 控制 列表 数据 解析 、 审 计策 略 列表 数据 解析 
以 及 审计 信息 数据 解析 等 。 


5.3.2 数据 导入 模块 


1. 功能 概述 

数据 导 人 模块 是 数据 获取 模块 .检验 工具 集 . 设 计 要 求 检验 策略 库 以 及 手工 检查 工具 
之 间 的 接口 。 

数据 获取 模块 作为 一 个 单独 的 应 用 程序 与 安全 应 用 平台 网 络 内 部 的 节点 子 系统 进行 
旁 路 连接 ,其 捕获 的 业务 数据 经 过 解析 保存 后 需要 通过 数据 导 人 模块 导入 到 检验 工具 集 ， 
供 数据 分 析 模 块 分 析 处 理 。 

设计 要 求 检验 策略 库 用 于 存储 检验 工具 集 的 检验 内 容 和 检验 方法 ,是 检验 工具 集 对 
安全 应 用 平台 各 个 节点 子 系统 进行 功能 符合 性 检验 的 标准 和 依据 。 检 验 开 始 前 需要 将 设 
计 要 求 检 验 策略 库 中 的 检验 内 容 通 过 数据 导 人 模块 导 人 到 项 目 数据 库 中 ,由 操作 员 在 检 
验 过 程 中 根据 实际 情况 对 检验 内 容 进 行 过 滤 取 使 。 
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手工 检查 工具 作为 一 个 单独 模块 ,调用 检验 工具 集 导出 的 手工 检查 方案 为 操作 人 员 
在 手工 检验 过 程 中 提供 向 导 和 指南 ,并 将 手工 检验 结果 通过 数据 导 人 模块 反馈 给 检验 工 
具 集 。 


2. 设计 结构 

数据 导 人 模块 共 包含 四 个 功能 : 手工 检查 方案 导出 、 手 工 检查 结果 导 人 、 业 务 数据 导 
和 入 以 及 检验 数据 导入 。 数 据 导入 模块 的 主要 功能 结构 

人 | Se 

pl Q@ 手工 检查 方案 导出 : 将 当前 检验 项 目 中 的 手工 

检查 | “| 扒 查 |， 得 | | 下 器 检验 要 素 信息 ,以 及 相应 的 检验 流程 和 检验 方法 导出 成 

导出 导入 XML 格式 文件 。 


图 54 数据 导入 模块 功能 结构 。 ”5@ 手工 检查 结果 导 人 : 将 手工 检查 工具 生成 的 检 
验 结果 导入 到 项 目 数据 库 中 ,便于 数据 分 析 模 块 以 及 结 
果 处 理 模块 进行 数据 分 析 。 
@ 业务 数据 导入: 将 数据 获取 模块 捕获 的 各 种 业务 数据 导入 到 项 目 数据 库 中 ,作为 
对 检验 要 素 进 行 功能 符合 性 检验 的 依据 。 
@ 检验 数据 导入 : 与 设计 要 求 检验 策略 库 相关 ,负责 把 当前 项 目的 检验 数据 从 设计 
要 求 检验 策略 库 中 导 人 到 项 目 数据 库 。 


5.3.3 项 目 管理 模块 


1. 功能 概述 

项 目 管理 模块 是 检验 工具 集 进行 功能 符合 性 检验 的 前 提 , 负 责 对 被 检验 项 目 中 的 项 
目 信息 、 项 目 节点 及 项 目 检验 中 所 需 审计 事件 等 进行 配置 管理 ,是 对 被 检验 项 目的 一 个 初 
始 化 和 后 续 配 置 的 过 程 。 项 目 管理 模块 包括 项 目 信息 管理 、 项 目 节点 管理 和 审计 事件 管 
理 三 个 子 模块 。 


2. 设计 结构 
项 目 管理 模块 的 功能 结构 ,如 图 5-5 所 示 。 


项 目 管 理 模块 
项 目 信息 管理 项 目 节 点 管理 审计 事件 管理 
I [ I I 
添加 | | 查看 | | 修改 || 删除 || 设 定 | 添加 | 查看 | 修改 || 删除 | | 添加 | | 删除 | 添加 | 删除 || 添 加 | 删除 
项 目 | | 项 目 | | 项 目 || 项 目 || 待 分 | 节点 | 节点 | 节点 || 节 点 | | 审计 | | 审计 || 审 计 || 审 计 || 审 计 | | 审计 
信息 | | 信息 || 信息 || 析 项 信息 || 信息 有 件 | | 事件 || 操作 | | 操作 | | 操作 | | 操作 
目 原因 || 原因 | | 行为 | | 行为 
及 及 
结果 || 结果 


图 5-5 项 目 管理 模块 功能 结构 
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(1) 项 目 信息 管理 

项 目 信息 的 管理 包括 : 添加 项 目 \ 查 看 项 目 信息 、 修 改 项 目 信息 、 删 除 项 目 信息 和 设 
定 待 分 析 项 目 。 

中 添加 项 目 ; 添加 新 的 检验 项 目 。 添 加 的 信息 包括 项 目 编号 、 项 目 等 级 项目 名 称 、 
创建 时 间 、 负 责 人 委托 单位 、 检 测 单位 .整体 描述 和 项 目的 备注 等 。 

@ 查看 项 目 信息 : 查看 某 一 检验 项 目的 信息 ,包括 项 目 编号 项目 名 称 、 项 目 等 级 、 
创建 时 间 、 完 成 时 间 、 负 责 人 、 委 托 单位 、 检 测 单位 项 目 状 态 、 检 验 结果 、 项 目 描述 以 及 项 
目 备注 等 信息 。 

@ 修改 项 目 信 息 : 修改 某 一 检验 项 目的 信息 ,包括 项 目 编号 项目 等 级 项目 名 称 、 
委托 单位 、 检 测 单位 负责 人 、 检 验 结果 、 项 目 状 态 、 结 束 时 间 、 项 目 整体 描述 以 及 项 目 备注 
等 信息 。 

@ 删除 项 目 信息 : 删除 某 一 检验 项 目 , 同 时 删除 与 该 项 目 相关 的 所 有 信息 ,包括 该 
项 目的 节点 、 检 验 数据 以 及 项 目的 审计 事件 等 。 

图 设 定 待 分 析 项 目 : 将 某 一 检验 项 目 设 定 为 即将 进行 数据 分 析 的 当前 项 目 。 

〈2) 项 目 节点 管理 

项 目 节点 管理 包括 : 添加 节点 、 查 看 节点 信息 、 修 改 节点 信息 和 删除 节点 。 

@ 添加 节点 : 添加 新 的 项 目 节 点 。 添 加 的 信息 包括 节点 编号 、 节 点 标志 、 节 点 所 属 
系统 类 型 .节点 IP 地 址 、 节 点 MAC 地 址 、 节 点 描述 以 及 节点 的 各 个 检验 项 和 各 个 检验 要 
素 信息 等 。 

@ 查看 节点 信息 : 查看 某 一 节点 的 详细 信息 ,包括 节点 编号 .节点 标志 、 节 点 所 属 系 
统 类 型 节点 PP 地 址 \、 节 点 MAC 地 址 和 节点 描述 等 信息 。 

@ 修改 节点 信息 : 修改 某 一 节点 的 信息 ,包括 节点 编号 .节点 标志 、 节 点 所 属 系 统 类 
型 .节点 IP 地址、 节点 MAC 地 址 和 节点 描述 等 信息 。 

图 删除 节点 : 删除 某 一 节点 ,同时 删除 与 该 节点 相关 的 所 有 信息 ,包括 该 节点 的 检 
验 项 和 检验 要 素 等 信息 。 

〈3) 项 目的 审计 事件 管理 

项 目的 审计 事件 管理 包括 添加 审计 事件 、 删 除 审计 事件 、 添 加 审计 操作 原因 及 结果 、 
删除 审计 操作 原因 及 结果 、 添 加 审计 操作 行为 和 删除 审计 操作 行为 。 

Q@ 添加 审计 事件 : 根据 当前 检验 项 目的 需要 ,为 当前 被 检验 项 目 添加 审计 事件 。 

加 删除 审计 事件 : 删除 当前 被 检验 项 目 中 的 某 些 审计 事件 。 

@ 添加 审计 操作 原因 及 结果 : 若 现 有 的 审计 事件 中 的 审计 操作 原因 及 结果 不 能 满 
足 当 前 项 目的 要 求 时 ,添加 审计 事件 中 的 操作 原因 及 结果 。 

@ 删除 审计 操作 原因 及 结果 : 删除 审计 事件 中 的 某 些 操作 原因 及 结果 。 

加 添加 审计 操作 行为 : 车 现 有 的 审计 事件 中 的 审计 操作 行为 不 能 满足 当前 项 目的 
要 求 时 ,添加 审计 事件 中 的 审计 操作 行为 。 

@ 删除 审计 操作 行为 : 删除 审计 事件 中 的 某 些 操作 行为 。 
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5.3.4 手工 检查 工具 模块 


1. 功能 概述 

“手工 检查 工具 ”是 等 级 保护 检验 工具 集 的 一 部 分 ,通过 “手工 检查 工具 ”可 以 辅助 用 
户 利用 检验 工具 集 对 等 级 保护 安全 平台 进行 检验 时 ,采用 向 导 的 方式 对 不 能 自动 和 半 自 
动 检验 的 检验 要 素 进行 手工 检验 。 


2. 设计 结构 

“手工 检查 工具 ”分 为 三 个 模块 ,分 别 是 数据 导入 、 问 卷 调查 和 结果 查看 。 首 先 应 该 在 
检查 之 前 导 人 数据 ,数据 源 是 XML 文件 ,此 时 需要 检查 的 数据 就 会 在 界面 上 显示 出 来 ， 
用 户 根 据 提示 ,对 每 一 个 检验 要 素 进行 检验 ,并 填写 调查 问卷 ,填写 后 的 内 容 将 被 写 人 到 
XML 文件 当中 ,最 后 可 以 查看 检验 结果 。 

(1) 数据 导入 

数据 导 人 模块 主要 实现 手工 检验 数据 的 导 人 ,数据 源 是 XML 文件 。 当 载 人 文件 路 
径 时 ,通过 相关 XSD 文件 判定 该 文件 格式 是 否 符合 要 求 ,如 果 符合 则 导 人 数据 ,为 下 一 步 
调查 问卷 的 生成 做 好 准备 。 

(2) 问卷 调查 

问卷 调查 模块 主要 实现 引导 用 户 对 等 级 保护 安全 平台 做 手工 检查 ,并 将 检查 结果 回 
填 到 XML 文件 中 ,以 便 将 XML 文件 导 人 到 数据 分 析 系 统 进行 综合 处 理 。 

(3) 结果 查看 

结果 查看 模块 主要 实现 的 是 用 户 检查 完毕 后 ,通过 界面 可 以 查看 每 一 个 检验 要 素 的 
检查 结果 ,其 中 包括 该 要 素 检 验 合格 与 否 ,以 及 相关 检验 记录 。 


5.3.5 数据 分 析 模 块 


1. 功能 概述 

数据 分 析 模 块 是 安全 功能 符合 性 检验 工具 集 的 核心 ,负责 对 安全 应 用 平台 各 个 节点 
子 系统 进行 功能 符合 性 检验 。 安 全 应 用 平台 包含 七 个 节点 子 系统 ,每 个 节点 子 系统 都 需 
要 实现 特定 的 功能 。 为 此 ,在 数据 分 析 过 程 中 ,我 们 将 节点 子 系统 实现 的 功能 点 作为 检验 
项 ,每 个 检验 项 划分 为 更 加 精确 的 检验 要 素 。 在 实际 检验 过 程 中 ,数据 分 析 的 检验 粒度 为 
检验 要 素 , 只 要 隶属 于 检验 项 的 所 有 检验 要 素 都 通过 功能 符合 性 检验 , 则 认为 该 检验 项 合 
格 。 如 果 隶 属于 节点 子 系统 的 所 有 检验 项 都 满足 功能 符合 性 检验 , 则 该 节点 子 系统 合格 。 

检验 要 素 分 为 自动 ,半自动 和 手工 三 种 检验 方式 。 其 中 手工 检查 方式 的 检验 要 素 由 
手工 检查 模块 完成 相应 检验 。 数 据 分 析 模 块 主要 针对 自动 和 半自动 方式 的 检验 要 素 进行 
检验 。 

在 检验 过 程 中 ,针对 每 一 个 自动 方式 的 检验 要 素 都 会 为 其 匹配 一 个 检验 方法 ,自动 完 
成 功能 符合 性 检验 。 对 于 半自动 方式 的 检验 要 素 ,需要 向 用 户 提供 一 个 交互 界面 ,指导 用 
户 根据 一 定 的 操作 流程 判断 当前 检验 要 素 是 否 合格 。 
当 用 户 触发 “开始 分 析 ” 请 求 后 ,首先 判断 “手工 检查 ”的 结果 是 否 已 经 导 人 ,如 果 没 有 


a 


给 出 提示 则 由 用 户 选择 是 否 继续 后 续 检 验 , 然 后 检查 半自动 检验 和 自动 检验 所 需 的 数据 


是 否 准备 好 ,如 果 没有 给 


提示 ,在 文本 进度 框 中 显示 不 齐全 的 数据 列表 , 则 由 用 户 选 择 


是 否 继续 后 续 检 验 。 如 果 继 续 , 则 循环 遍历 每 个 检验 项 中 的 检验 要 素 列表 ,针对 每 个 自动 


和 半自动 检验 要 素 调用 相 
2. 设计 结构 


应 的 算法 完成 功能 符合 性 检验 。 


数据 分 析 模 块 主要 完成 对 安全 应 用 平台 各 个 节点 子 系统 的 功能 符合 性 检验 。 包 括 安 
全 计算 环境 数据 分 析 、 安 全 区 域 边界 数据 分 析 、 安 全 通信 网 络 数据 分 析 以 及 安全 管理 中 心 
数据 分 析 四 个 功能 模块 ,如 图 5-6 所 示 。 


信和 网络 


数据 分 析 | 
安全 计算 环境 
全 区 域 边界 | 了 
区 域 边 界 包 过 小 检验 
| 一 一 区域 边 界 安全 监控 
区 域 这 界 完整 性 保护 检验 
区 域 边 


代码 防 杀 检验 


网 络 安全 监控 检验 


网 络 安全 审计 检验 


一 一 用 户 身份 鉴别 检验 
一 一 自主 访问 控制 检验 


[Windows 节 点 子 系统 | 一 用 户 数据 完整 性 检验 


用 户 数 据 保密 
i 系统 ID 


半 
内 
三 


欧 理 中 心 


一 一 一 | 系统 管理 子 系统 | 一 一 


策略 管理 检验 


-| 用户 身份 管理 检验 


资源 管理 检验 


审计 管理 子 系统 


应 急 处 理 检验 


图 5-6 数据 分 析 模 块 功能 结构 


(1) 安全 计算 环境 数据 分 析 
安全 计算 环境 数据 分 析 分 为 Linux 节点 子 系统 数据 分 析 和 Windows 节点 子 系统 数 
据 分 析 。 由 于 两 个 子 系统 都 属于 安全 操作 系统 ,因此 拥有 共同 的 检验 项 和 检验 要 素 ,但 在 


安全 审计 检验 
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实际 检验 过 程 中 ,不 同 的 操作 系统 对 数据 的 存储 和 管理 模式 各 不 相同 ,因此 业务 数据 和 检 
验 结果 也 会 发 生变 化 。 

(2) 安全 区 域 边界 数据 分 析 

安全 区 域 边界 数据 分 析 主 要 完成 对 区 域 边界 包 过 滤 、 区 域 边界 安全 监控 、 区 域 边界 完 
整 性 保护 以 及 区 域 边界 恶意 代码 防 杀 检验 。 

(3) 安全 通信 和 网络 数据 分 析 

安全 通信 和 网络 数据 分 析 主 要 完成 对 网 络 安全 监控 、 网 络 安 全 审计 、 网 络 数据 传输 完 
整 /保密 性 保护 以 及 网 络 恶 意 代码 防 杀 检验 。 

(4) 安全 管理 中 心 数据 分 析 

安全 管理 中 心 数 据 分 析 包 含 对 系统 管理 子 系统 和 审计 管理 子 系统 的 功能 符合 性 检验 。 


_ 使 用 操作 演示 


5.4.1 数据 获取 端 


数据 获取 工具 的 网 络 监听 功能 包含 监听 参数 设置 和 数据 包 监 听 两 部 分 ,与 数据 解析 
功能 一 起 构成 数据 获取 工具 。 

1. 监听 设置 

监听 设置 功能 是 完成 网 络 监 听 前 必要 的 参数 设置 ,包含 数据 获取 平台 在 安全 应 用 平 
台 网 络 内 部 的 部 署 位 置 , 以 及 用 于 数据 包 监 听 的 网 卡 序号 。 

在 主 界面 中 单 击 “ 启 动 监 听 ” 按 钮 就 可 以 进入 “监听 参数 设置 ”, 如 图 5-7 所 示 。 

在 “监听 参数 设置 "界面 中 单 击 “ 获 取 网 卡 列表 ”按钮 后 ,在 “本 机 网 卡 列表 ”中 会 依次 
罗列 出 本 机 上 所 有 网 卡 的 编号 和 描述 信息 ,操作 员 在 文本 框 中 输入 需要 进行 监听 的 网 卡 
编号 后 , 单 击 “ 确 定 ?按钮 即 可 开始 网 络 数据 包 监 听 , 如 图 5-7 所 示 。 


图 5-7 监听 参数 设置 
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2. 数据 包 监 听 
设置 完 监 听 参 数 后 ,系统 将 自动 进 和 人 数据 包 监听 状态 。 监 听 过 程 如 图 5-8 所 示 。 监 
听 完 成 后 , 单 击 “ 讽 扩 按 钮 ,系统 将 自动 保存 监听 到 的 数据 包 。 


192,169,10,35 
35,179,140 
3,10,35 
179,140 
179.140 
,168,10,35 


168.10,35 
135.179,140 


61,135,179,140 
61,235.179,140 
.168.10.35 


,135,179,140 
192,168.10,35 
61,135,179,140 


图 5-8 数据 包 监听 


3. 数据 解析 

在 主 界面 中 单 击 “ 导 出 数据 解析 ?菜单 ,进入 数据 解析 界面 ,如 图 5-9 所 示 。 在 弹出 的 
“信息 系统 等 级 保护 检验 平台 数据 解析 ”界面 中 ,选择 需要 解析 的 数据 类 型 以 及 与 之 相对 
应 的 文件 存储 路 径 , 单 击 “ 确 定 ” 按 钮 即 完成 当前 数据 类 型 的 数据 解析 。 


61.135,179.140 
135,179,140 


全 请 
主 访问 控 者 


策略 到 
源 过 界 目 主 访问 控 ， 
局 兰 第 略 列 表 


192,168.10.35 
61.135,179.140 
61.135.179.140 
61,135,179.140 
192,163,10,35 
61,135,179.1 和 
192,168,10.35 
61.135,179.140 
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5.4.2 ”数据 分 析 端 
检验 工具 集 数据 分 析 端 分 为 系统 管理 员 功能 模块 和 普通 用 户 功能 模块 。 


1. 系统 管理 员 功 能 模块 

以 系统 管理 员 身 份 登录 系统 后 ,可 以 看 到 系统 主要 包括 用 户 管理 和 项 目 信息 管理 等 
功能 。 

(1) 用 户 管理 

@ 全 部 用 户 管理 

“全 部 用 户 管理 ”包括 用 户 的 添加 、 修 改 、 删 除 和 退出 等 功能 。 

单 击 “ 用 户 管理 ”|“ 全 部 用 户 管理 ”菜单 或 单 击 快捷 工具 栏 上 的 “ 廊 ” 图 标 , 系统 将 弹 
出 “用 户 管理 ?对 话 框 。 在 对 话 框 中 可 以 看 到 用 户 管 理 包 含 用 户 信息 的 添加 、 修 改 和 删除 
的 操作 。 

。 添加 用 户 

单 击 “ 添 加 ”按钮 ,将 弹出 “添加 用 户 ” 对 话 框 ,如 图 5-10 所 示 。 


生生 加 直 


图 5-10 “添加 用 户 ” 对 话 框 


用 户 在 此 输入 要 添加 的 用 户 名 称 、 用 户 密 码 、 用 户 描 述 和 用 户 备注 等 信息 ,然后 单 击 
“添加 ”按钮 即 完成 了 用 户 的 添加 。 

用 户 添加 完毕 后 ,可 单 击 “ 退 出 ”按钮 返回 “用 户 管理 ”界面 。 

。 修改 用 户 

在 “用 户 管理 ”界面 选中 要 修改 的 用 户 , 单 击 “ 修 改 ?按钮 ,将 弹出 “修改 用 户 信息 ”对话 
框 ,如 图 5-11 所 示 。 

对 用 户 名 称 、 密 码 、 用 户 描述 及 用 户 备注 等 信息 进行 修改 后 , 单 击 “ 确 定 ” 按 钮 妈 可 完 
成 用 户 信息 的 修改 , 单 击 “ 退 出 ?按钮 放弃 对 用 户 信息 的 修改 。 

。 删除 用 户 

在 “用 户 管理 ”界面 选中 要 删除 的 用 户 , 单 击 “ 删 除 ” 按 钮 ,完成 对 用 户 的 删除 操作 。 

@ 用 户 自 管理 

“用 户 自 管理 ”主要 是 对 当前 用 户 自身 信息 的 修改 。 

单 击 “用 户 管理 "| “用户 自 管理 ”菜单 或 单 击 快捷 工具 栏 上 的 “ 刻 ” 图 标 ,系统 将 弹出 
“用 户 自 管理 ”对 话 框 ,如 图 5-12 所 示 。 
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图 5-11 “修改 用 户 信 息 ” 对 话 框 


图 5-12 “用 户 自 管理 ”对 话 框 


在 此 对 话 框 中 对 当前 用 户 名 称 、 密 码 、 用 户 描述 及 用 户 备注 等 信息 进行 修改 后 , 单 击 
“确定 ”按钮 完成 当前 用 户 信 息 的 修改 ,或 单 击 “ 退 出 ”按钮 放弃 对 当前 用 户 信息 的 修改 。 

C2) 项 目 信 息 管 理 

“项 目 信 息 管 理 ” 为 系统 中 全 部 项 目的 信息 管理 ,功能 主要 包括 : 项 目的 添加 、 项 目 信 
息 的 查看 、 项 目的 修改 、 项 目的 删除 等 。 

单 击 “ 项 目 管理 ”|“ 项 目 信息 管 理 ” 菜 单 或 单 击 快捷 工具 栏 上 的 “i 议 ” 图 标 ,系统 将 弹 
出 “项 目 信 息 管理 ”对 话 框 。 项 目 信息 管理 模块 包含 项 目 信 息 的 添加 、 修 改 和 删除 操作 。 

。 添加 项 目 

单 击 “ 添 加 ”按钮 ,系统 将 弹出 “添加 项 目 ” 对 话 框 ,如 图 5-13 所 示 。 

用 户 在 此 处 输入 项 目 编号 、 项 目 等 级 项目 名 称 、 项 目 创建 时 间 、 负 责 人 、 委 托 单位 \ 检 
测 单 位 、 整 体 描述 和 备注 信息 后 , 单 击 “ 确 定 ” 按 钮 即 可 完成 项 目的 添加 ,或 单 击 “ 取 消 ” 按 
钮 放弃 添加 项 目 。 

。 修改 项 目 

在 项 目 列表 中 选中 要 修改 的 项 目 , 单 击 “ 修 改 ” 按 钮 ,系统 将 弹出 “编辑 项 目 ” 对 话 框 ， 
如 图 5-14 所 示 。 
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图 5-13 “添加 项 目 ? 对 话 杠 


图 5-14 “编辑 项 目 ? 对 话 框 


用 户 在 此 处 修改 项 目 编号 项 目 等 级 、 项 目 名 称 、 委 托 单位 、 负 责 人 、 检 测 单位 整体 描 
述 和 备注 等 信息 后 , 单 击 “ 确 定 ” 按 钮 完成 项 目的 修改 ,或 单 击 “ 取 消 ” 按 钮 放弃 项 目的 
修改 。 

。 删除 项 目 

在 项 目 列表 中 选中 要 删除 的 项 目 , 单 击 “ 删 除 ? 按 钮 ,完成 项 目的 删除 。 


2. 普通 用 户 功 能 模块 

(1) 系统 登录 

以 普通 检验 人 员 身 份 登录 后 ,可 看 到 系统 主要 包括 创建 项 目 任务 、 项 目 管理 .检验 管 
理 、 数 据 分 析 和 结果 管理 等 功能 。 

根据 被 检验 安全 应 用 平台 等 级 的 不 同 ,操作 员 可 以 在 登录 界面 中 选择 不 同等 级 平台 
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进行 登录 。 

(2) 创建 项 目 任务 

“创建 项 目 任务 ”主要 包括 “ 导 人 节点 信息 ”和 “添加 审计 事件 ”。 

单 击 “文件 ?| "创建 项 目 任务 ”菜单 或 单 击 快捷 工具 栏 上 的 “ 生 " 图 标 , 系 统 将 弹出 “ 创 
建 项 目 任务 一 一 导入 节点 信息 ”对 话 框 ,如 图 5-15 所 示 。 


图 5-15 “创建 项 目 任务 一 导入 节点 信息 ?对 话 框 


@ 导 人 项 目 节点 信息 

单 击 “.….” 按 钮 ,弹出 “打开 ”文件 对 话 框 ,选择 要 导入 的 节点 信息 文件 (XML 文件 )， 
然后 单 击 “ 打 开 ” 按 钮 以 设 定 文件 路 径 , 单 击 “ 导 人 ”按钮 ,完成 项 目 中 节点 信息 的 导入 。 

@ 手动 添加 


图 5-16 所 示 。 


图 5-16 “添加 节点 信息 ”对 话 框 


用 户 在 此 处 输入 节点 编号 ,节点 标志 、 系 统 类 型 、IP 地 址 、MAC 地 址 、 节 点 描述 信息 
后 , 单 击 “添加 ”按钮 完成 单个 节点 的 添加 ,通过 重复 上 述 操作 ,来 完成 多 个 节点 的 添加 。 


第 5 章 二 \ 三 \ 四 级 安全 应 用 平台 功能 符合 性 检验 工具 集 的 使 用 


@ 添加 项 目 审计 事件 

单 击 “ 创 建 项 目 任务 一 一 导 人 节点 信息 ”对 话 框 中 的 “下 一 步 ” 按 钮 ,弹出 “创建 项 目 任 
务 一 一 添加 审计 事件 ”对 话 框 。 

根据 被 检验 项 目 等 级 的 不 同 , 项 目 审计 事件 的 类 型 也 不 相同 。 操 作 员 根据 提示 添加 
系统 分 析 所 需要 的 审计 事件 对 应 的 目标 系统 审计 事件 。 下 面 以 二 级 安全 应 用 平台 检验 项 
目 审 计 事 件 添加 为 例 进行 说 明 。 

。 添加 审计 事件 

选择 左 侧 树 中 列 出 的 系统 分 析 所 需 的 审计 事件 (以 “安全 计算 环境 子 系统 ”1“ 自 主 访 
问 控制 功能 审计 事件 ?为 例 ) ,画面 如 图 5-17 所 示 。 


人 
人 和 是 全 是 宇和 汪汪 代 
应 急 处 理 审计 事件 


图 5-17 “自主 访问 控制 功能 审计 事件 ”添加 前 的 对 话 框 


单 击 右 侧 的 “添加 ?按钮 ,弹出 “添加 “自主 访问 控制 功能 审计 事件 ”的 对 应 审计 事件 ” 
对 话 框 ,如 图 5-18 所 示 。 


图 5-18 “添加 “自主 访问 控制 功能 审计 事件 的 对 应 审计 事件 ”对 话 框 


在 此 处 选中 相应 的 操作 原因 和 操作 行为 , 单 击 “ 添 加 ”按钮 ,完成 一 个 审计 事件 的 添 
加 ,通过 重复 上 述 操作 ,完成 多 个 审计 事件 的 添加 。 

单 击 “ 退 出 ?按钮 退出 审计 事件 的 添加 。 

完成 项 目 审计 事件 的 添加 后 ,如 图 5-19 所 示 。 
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口 自主 沪 问答 审 / 技 行 党 作成 功 。 口 ] 自主 访问 控制/ 用 户 警 录 / 成 
一 自主 访问 控制 号 能 审计 事件 口 自主 访问 控制/ 执行 操作 /失败 。 口 自主 访问 控制/ 用 户 登录 / 失 
- 实 全 区 域 边 界 子 系统 口 自主 访问 榨 制 / 写 操作 /成 功 。。 口 自主 访问 控制 /程序 启动 /成 
人 口 自主 访问 控制/ 写 操作 /失败 口 自主 访问 控制 /程序 自动/ 失 几 
策略 操作 审计 事件 口 自主 访问 控制 / 读 操 作 / 成 功 
.用 户 身份 管理 审计 事件 口 自主 访问 控制 / 计 操 作 /失败 
:应 名 处 再审 计 事 诈 口 自主 访问 控制/ 秒 加 写 操作 /成 功 
口 目 主 访 问 径 制 /还 加 写 操作 /失败 
口 自主 访问 控制 /打开 操作 /成 功 
口 自主 访问 控制/ 打开 拘 作 /失败 
口 目 主 访问 各 制 /改名 操作 /成 功 
口 自主 访问 控制/ 改名 操作 /失败 
口 目 主 访问 控制 /开除 操作 /成 功 
自主 访问 控制 / 册 除 操作 /失败 


图 5-19 “自主 访问 控制 功能 审计 事件 ”添加 后 的 对 话 框 


。 删除 审计 事件 

在 图 5-19 中 用 “/ ?选中 右 侧 需要 删除 的 审计 事件 (选中 复 选 框 ), 单 击 “ 删 除 ? 按 钮 ， 
完成 项 目 审 计 事 件 的 删除 。 

。 添加 操作 原因 及 结果 

在 添加 系统 审计 事件 时 , 若 系统 提供 的 审计 事件 操作 原因 及 结果 不 够 全 面 ,需要 添加 
操作 原因 及 结果 , 则 单 击 图 5-20 中 “操作 原因 ” 右 侧 的 “.…” 按 钮 ,弹出 “审计 事件 中 操作 原 
因 及 结果 ”对 话 框 。 


a 


na td 
外 委 呈 疯 对 委 雹 椒 圳 ! 革 于 雪 汕 


图 5-20 “审计 事件 中 操作 原因 及 结果 ”管理 对 话 框 
在 右 侧 填写 抬 作 原因 名 称 、 操 作 结果 和 原因 及 结果 编码 信息 后 , 单 击 “ 添 加 ?按钮 , 完 


成 操作 原因 及 结果 的 添加 。 
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。 删除 操作 原因 及 结果 

在 图 5-20 中 左 侧 列表 中 ,选中 要 删除 的 项 , 单 击 “ 删 除 选 中 项 ?按钮 ,完成 操作 原因 及 
结果 的 删除 。 

。 添加 操作 行为 

在 添加 系统 审计 事件 时 , 若 系统 提供 的 审计 事件 操作 行为 不 够 全 面 ,需要 添加 操作 行 
为 , 则 单 击 图 5-18 中 “操作 行为 ” 右 侧 的 “...” 按 钮 ,弹出 “审计 事件 中 操作 行为 "对话 框 ,如 
图 5-21 所 示 。 
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图 5-21 “审计 事件 中 操作 行为 ”对 话 框 


在 右 侧 填写 操作 行为 名 称 和 操作 行为 编码 信息 后 , 单 击 “ 添 加 ”按钮 ,完成 操作 行为 的 
添加 。 

在 图 5-21 的 左 侧 列表 中 ,选中 要 删除 的 项 , 单 击 “ 删 除 选 中 项 ?按钮 ,完成 操作 行为 的 
删除 。 

〈3) 项 目 管理 

“项 目 管理 ”包括 “项 目 信 息 管 理 ”“ 项 目 节点 管理 ”和 “审计 事件 管理 ”。 

Q 项 目 信 息 管理 

“项 目 信息 管理 ?为 当前 用 户 所 负责 的 项 目的 信息 管理 ,功能 主要 包括 项 目 信 息 的 查 
看 、 项 目的 修改 、 设 定 为 待 分 析 项 目 及 退出 等 功能 。 

单 击 “项 目 管理 ”| "项 目 信息 管理 ?菜单 或 单 击 快捷 工具 栏 上 的 “ 蚀 ? 图 标 , 系 统 将 弹 
出 “项 目 信息 管理 ?对 话 框 ,如 图 5-22 所 示 。 


。 查看 项 目 信息 
单 击 项 目 列表 中 的 某 一 项 目 , 在 下 面 的 “项 目 其 他 信息 ?选项 区 查看 其 他 相关 信息 。 
。 修改 项 目 


在 项 目 列表 中 选中 要 修改 的 项 目 , 单 击 “ 修 改 ” 按 钮 ,系统 将 弹出 “编辑 项 目 ” 对 话 框 ， 
如 图 5-23 所 示 。 
用 户 在 此 处 修改 项 目 编号 项目 等 级 项目 名 称 ` 委 托 单位 负责 人 、 检 测 单位 .整体 描 
述 和 备注 等 信息 后 , 单 击 “ 确 定 ? 按 钮 完成 项 目的 修改 ,或 单 击 “取消 ”按钮 放弃 项 目的 
修改 。 
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图 5-22 “项 目 信 息 管理 ”对 话 框 


5-23 “编辑 项 目 ” 对 话 框 


。 设 定 为 待 分 析 项 目 

在 图 5-22 项 目 列表 中 选中 要 进行 分 析 的 项 目 , 单 击 “ 设 定 为 待 分 析 项 目 ” 按 钮 ,完成 
当前 检验 项 目的 设 定 。 

@ 项 目 节 点 管理 

“项 目 节点 管理 ”主要 包括 当前 项 目 中 节点 的 添加 、 删 除 、 信 息 查看 及 退出 管理 等 
功能 。 

单 击 “项 目 管理 "| 项目 节 点 管理 ? 莱 单 或 单 击 快捷 工具 栏 上 的 “由 ?图 标 , 系 统 将 弹出 
“XX 节点 管理 ?对 话 框 , 如 图 5-24 所 示 。 

。 添加 

单 击 “ 添 加 ”按钮 ,系统 将 弹出 “添加 节点 信息 ”对 话 框 ,如 图 5-25 所 示 。 
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5-24 项 目 节点 管理 对 话 框 


图 5-25 “添加 节点 信息 ”对 话 框 


用 户 在 此 处 输入 节点 编号 .节点 标志 、 系 统 类 型 .IP 地 址 、MAC 地 址 、 节 点 描述 等 信 
息 后 , 单 击 “ 添 加 ”按钮 完成 单个 节点 的 添加 ,通过 重复 上 述 操 作 , 完 成 多 个 节点 的 添加 。 

在 图 5-24“ 项 目 节点 管理 ”对 话 框 内 选中 要 删除 的 节点 , 单 击 “ 删 除 ” 按 钮 完成 节点 的 
删除 。 

@ 审计 事件 管理 

“审计 事件 管理 ”主要 包括 目标 系统 中 审计 事件 的 添加 和 删除 。 

单 击 “ 项 目 管理 ”|“ 审 计 事件 管 理 ” 菜 单 或 单 击 快捷 工具 栏 上 的 “ 急 ” 图 标 , 系统 将 弹 
出 %XX 审计 事件 管理 ”对 话 框 ,如 图 5-26 所 示 。 

(4) 检验 管理 

“检验 管理 ”包括 “导出 手工 检验 方案 *"“ 导 人 手工 检验 结果 ”“ 批 量 导 入 ( 半 ) 自 动 检 
验 数据 ”“ 分 类 导入 ( 半 ) 自 动 检验 数据 ”及 “清除 ( 半 ) 自 动 检验 数据 ”等 。 
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… 应急 处 理 审计 事件 


图 5-26 项 目 审计 事件 管理 对 话 框 


@ 导出 手工 检验 方案 

单 击 “ 检 验 管理 ”|“ 导 出 手工 检验 方案 ”菜单 ,系统 将 弹出 “导出 手工 检验 方案 ”对 话 
框 ,如 图 5-27 所 示 。 

单 击 文本 框 右 侧 的 “... ”按钮 ,弹出 “另存 为 ”文件 对 话 框 ,填写 要 导出 的 手工 检验 方案 
文件 (XML 文件 ) , 单 击 “ 保 存 ” 按 钮 以 设 定 图 5-27 中 的 文件 路 径 ,然后 单 击 “ 导 出 手工 检 
验方 案 ” 按 钮 ,完成 手工 检验 方案 的 导出 。 

单 击 “ 退 出 ”按钮 ,关闭 “导出 手工 检验 方案 ”对 话 框 。 

@ 导 人 手工 检验 结果 

单 击 “ 检 验 管理 ”|“ 导 入 手工 检验 结果 ”菜单 ,系统 将 弹出 “ 导 人 手工 检验 结果 ”对 话 
框 ,如 图 5-28 所 示 。 


图 5-27 “导出 手工 检验 方案 ”对 话 框 图 5-28 “导入 手工 检验 结果 ”对 话 框 


单 击 文本 框 右 侧 的 “... ”按钮 ,弹出 “打开 ”文件 对 话 框 ,选中 需要 导入 的 手工 检验 结果 
文件 (XML 文件 ), 单 击 “ 打 开 ” 按 钮 以 设 定 图 5-28 中 的 文件 路 径 , 然 后 单 击 “ 导 人 手工 检 
验 结果 ”按钮 ,完成 手工 检验 结果 的 导入 。 

单 击 “ 退 出 ”按钮 ,关闭 “导入 手工 检验 结果 ”对 话 框 。 

图 批量 导入 ( 半 ) 自 动 检验 数据 

单 击 “ 检 验 管 理 ”|“ 导 入 ( 半 ) 自动 检验 数据 ”菜单 ,系统 将 弹出 “打开 ”对 话 框 ,如 
图 5-29 所 示 。 
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AuditInfo.xML 


图 5-29 “打开 ?对话 框 


选中 需要 导 人 的 (半自动 检验 数据 文件 (XML 文件 ), 单 击 “ 打 开 ” 按 钮 批量 导 人 
〈 半 ?自动 检验 数据 。 

图 分 类 导 人 (半自动 检验 数据 

分 类 导 人 ( 半 ) 自 动 检验 数据 包括 Windows 计算 环境 数据 的 获取 、Linux 计算 环境 数 
据 的 获取 、 单 个 计算 节点 数据 的 获取 、 安 全 区 域 边界 子 系统 数据 的 获取 、 安 全 道 信和 网 络 子 
系统 数据 的 获取 、 安 全 管理 子 系统 数据 的 获取 (三 /四 级 )、 系 统管 理子 系统 数据 的 获取 、 审 
计 管 理子 系统 数据 的 获取 等 。 每 个 子 系统 的 数据 获取 操作 流程 基本 相同 ,下 面 以 
Windows 计算 环境 数据 的 获取 为 例 进行 操作 演示 。 

单 击 主 界面 左 侧 树 中 “安全 计算 环境 子 系统 ”, 选 择 右 侧 “Windows 计算 环境 数据 获 
取 ” 属 性 页 ,界面 如 图 5-30 所 示 。 


富有 平 只: 5 


图 5-30 Windows 计算 环境 数据 获取 界面 
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.5.4 使 用 操作 演示 


选中 右 侧 界面 中 “数据 类 型 "内 的 “通信 数据 ”属性 页 , 单 击 “Windows 计算 环境 数据 
获取 ”属性 页 下 方 的 “..…. ”按钮 ,弹出 “打开 ”文件 对 话 框 ,选中 需要 导入 的 检验 数据 (XML 
文件 ) , 单 击 “ 打 开 ” 按 钮 以 设 定 文件 路 径 , 然 后 单 击 “ 导 人 ”按钮 ,完成 Windows 计算 环境 
中 道 信 数 据 的 获取 。 

Windows 计算 环境 中 其 他 数据 的 获取 类 似 。 

加 清除 ( 半 ) 自 动 检验 数据 

单 击 “ 检 验 管 理 ”|“ 清 除 ( 半 ) 自 动 检验 数据 ”菜单 ,系统 将 弹出 “清除 检验 数据 .….” 对 话 
框 ,选中 需要 清除 的 数据 的 复 选 框 ,然后 单 击 “ 清 除数 据 ” 按 钮 完成 相应 的 操作 ,如 图 5-31 
所 示 。 


审计 策略 


审计 
自主 访问 控制 策略 
数据 包 过 湖 策 略 


图 5-31 “清除 检验 数据 ”对 话 框 


(5) 数据 分 析 

“数据 分 析 ” 包 括 Windows 计算 环境 数据 分 析 、Linux 计算 环境 数据 分 析 、 单 个 计 
算 节 点 数据 分 析 、 安 全 区 域 边界 子 系统 数据 分 析 、 安 全 通信 网 络 子 系统 数据 分 析 、 安 
全 管理 子 系 统 数 据 分 析 ( 三 /四 级 )、 系 统管 理子 系统 数据 分 析 、 审 计 管 理子 系统 数据 
分 析 等 。 

每 个 子 系统 的 数据 分 析 操 作 流 程 基 本 相同 ,下 面 主要 以 安全 计算 环境 数据 分 析 操 作 
流程 为 例 进行 演示 。 

@ 安全 计算 环境 数据 分 析 

单 击 主 界面 左 侧 树 中 “安全 计算 环境 子 系统 ”, 选 择 右 侧 “数据 分 析 ” 属 性 页 ,界面 如 
图 5-32 所 示 。 

用 “~ ”选中 右 侧 界面 中 需要 分 析 的 节点 ( 复 选 框 ) , 单 击 “ 开 始 分 析 ” 按 钮 ,将 依次 完成 
对 各 个 检验 要 素 的 分 析 。 

@ 单个 计算 节点 数据 分 析 

单 击 主 界面 左 侧 树 中 “安全 计算 环境 子 系统 ”中 单个 节点 下 的 “数据 分 析 ” 选 项 ,界面 
如 图 5-33 所 示 。 

可 以 通过 选中 右 侧 区 域 中 各 个 属性 页 中 的 检验 要 素来 确定 要 检验 的 内 容 ,然后 单 击 
“开始 分 析 ” 按 钮 进行 数据 分 析 。 


三 、 四 级 安全 应 用 平台 功能 符合 性 检验 工具 集 的 使 用 


图 5-32 安全 计算 环境 数据 分 析 界 面 
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图 5-33 单个 计算 节点 数据 分 析 界 面 


(6) 结果 管理 

“结果 管理 ? 既 可 以 查看 总 体 的 检验 结果 ,也 可 以 单独 查看 某 一 子 系统 或 某 一 节点 的 
检验 结果 ,并 能 生成 检验 报告 。 

中 总 体 结果 查看 

单 击 “结果 管理 "| "查看 结果 ?菜单 ,或 单 击 快捷 工具 栏 上 的 
图 5-34 所 示 。 

@ 各 部 分 结果 查看 

在 主 界面 左 侧 树 中 单 击 各 个 子 系统 (或 节点 ), 然 后 单 击 主 界面 右 侧 中 的 “检验 结果 ” 


”图 标 , 界面 如 


图 5-34 总 体 结果 查看 界面 
属性 页 ,将 显示 对 应 子 系统 (或 节点 ) 的 检验 结果 ,如 图 5-35 和 图 5-36 所 示 。 
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节点 子 系统 检验 结果 


[了 


多 用 己 数 据 元 将 攻 保 访 
如 
系 况 安全 审计 
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5-35 计算 节点 检验 结果 分 布 图 


@ 生成 报告 

单 击 “结果 管理 |“ 生成 报告 菜单 ,或 单 击 快捷 工具 栏 上 的 “ 
Word 版 本 ”对话 框 ,如 图 5-37 所 示 。 

通过 单 击 “ 是 ”或 “ 否 ” 按 钮 选择 Word 的 版 本 ,将 弹出 “报告 生成 ”对 话 框 ,在 弹出 的 对 
话 框 中 可 以 选择 “向 导 模 式 ” 或 者 “快速 生成 ”模式 生成 相应 的 检验 报告 。 


"图标, 弹出 “选择 
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图 5-36 计算 节点 检验 结果 统计 图 


pe 


图 5-37 “选择 Word 版 本 ”对 话 框 


5.4.3 手工 检查 工具 


手工 检查 工具 的 功能 主要 有 : 导 人 人 数据、 编辑 检验 记录 、 评 定 检验 结果 和 查看 检验 
结果 。 
在 欢迎 使 用 对 话 框 中 单 击 “ 下 一 步 ” 按 钮 后 会 看 到 图 5-38 所 示 的 界面 ,在 此 选择 安全 
平台 所 属 的 等 级 ,否则 不 能 进行 下 面 的 操作 。 


1. 导入 数据 

单 击 “ 浏 览 ” 按 钮 ,选择 要 导 人 的 XML 文件 ,如 果 为 空 或 者 文件 格式 有 误 则 会 给 出 提 
示 “ 重 新 导 人 ”, 如 图 5-39 所 示 。 

单 击 “ 下 一 步 ” 按 钮 后 将 给 出 确认 提示 ,如 果 确 认 路 径 正 确 , 则 单 击 “ 导 入 ”按钮 ,如 
图 5-40 所 示 。 


2. 编辑 检验 记录 

单 击 “ 导 人 ”按钮 ,出 现 如 图 5-41 的 界面 。 在 每 个 检验 要 素 的 详细 信息 中 ,包含 了 该 
要 素 的 所 属 子 系统 .所 属 检验 项 、 检 验 要 素 的 编号 和 名 称 、 检 验方 法 和 检验 记录 等 信息 。 
其 中 “检验 方法 ”指导 用 户 如 何 去 进 行 检验 ,用 户 可 以 在 “检验 记录 ”中 记录 检验 过 程 中 的 
详细 信息 。 如 果 在 检验 过 程 中 需要 添加 一 些 文件 附件 作为 证 据 ,可 以 单 击 “ 添 加 附件 路 
径 ” 按 钮 ,添加 相关 附件 。 该 路 径 将 保存 在 XML 文件 中 ,以 供用 户 作 为 搜寻 证 据 的 参考 。 


sg 176 a: 


SS 5.4 使 用 操作 演示 


图 5-38 选择 安全 平台 所 属 的 等 级 


图 5-39 从 XML 文件 导入 数据 


图 5-40 确认 导入 
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图 5-41 手工 检验 过 程 


3. 评定 检验 结果 

如 图 5-41 所 示 ,用 户 在 检验 每 一 项 要 素 之 后 ,根据 得 到 的 相关 信息 可 在 右 下 角 选 择 
该 要 素 检验 的 结果 (合格 /不 合格 ) 。 

当 进 行 完 最 后 一 个 要 素 的 检验 之 后 , 单 击 “ 下 一 步 ”按钮 将 出 现 是 否 查 看 检验 结果 的 
提示 框 。 


4. 查看 检验 结果 

进入 检验 结果 查看 功能 之 后 ,将 看 到 如 图 5-42 所 示 的 界面 ,该 界面 左边 是 一 个 树 , 包 
含 了 本 次 手工 检验 的 所 有 子 系统 、 检 验 项 及 其 相关 信息 。 

在 树 中 单 击 “ 包 含 检验 项 ”, 会 出 现 该 子 系统 所 包含 的 检验 项 , 单 击 某 个 检验 项 的 节 
点 ,在 右边 将 出 现 该 项 所 包含 的 检验 要 素 检验 结果 的 相关 信息 ,其 中 有 检验 结果 和 检验 记 
录 , 如 图 5-42 所 示 。 


5.4.4 设计 要 求 检 验 策略 库 管理 


“设计 要 求 检 验 策略 库 管理 系统 ”是 为 了 辅助 等 级 保护 的 检验 工具 集 开 发 而 设计 的 ， 
通过 “设计 要 求 检 验 策略 库 管 理 系统 ”可 以 为 等 级 保护 检验 工具 集 的 开发 提供 需要 检验 的 
检验 类 、 检 验 项 检验 要 素 和 检验 方法 等 。 

设计 要 求 检验 策略 库 同样 分 为 管理 员 功 能 模块 和 普通 用 户 功 能 模块 。 
管理 员 功 能 模块 包含 用 户 管理 和 用 户 自 管理 两 个 功能 子 模块 。 其 中 用 户 管理 包含 新 


.5.4 使 用 操作 演示 


建 用 户 、 修 改 用 户 信息 和 删除 用 户 信息 。 用 户 自 管理 主要 是 对 管理 员 自 身 的 信息 进行 编 
辑 , 包 含 口 令 和 基本 信息 的 修改 。 具 体 的 操作 流程 可 以 参考 数据 分 析 端 “系统 管理 员 功 
能 ”章节 的 相关 演示 。 


站 上 攻 服 清 条 


图 5-42 ”结果 查看 


普通 用 户 功能 模块 主要 是 对 检验 类 、 检 验 项 .检验 要 素 以 及 相对 应 的 检验 方法 进行 管 
理 维护 。 维 护 操作 的 方式 主要 有 新 建 、 查 看 、 修 改 和 删除 相应 的 信息 。 下 面 以 检验 类 为 例 
进行 相关 的 操作 演示 。 

检验 类 管理 主要 是 对 要 检验 的 类 进行 新 建 、 查 看 、 修 改 和 删除 操作 的 管理 。 


1. 新 建 检 验 类 

在 设计 要 求 检验 策略 库 管理 主 界面 中 的 左面 树 中 ,选中 检验 类 的 上 级 节点 右 击 ,在 弹 
出 的 快捷 菜单 中 选择 “新 建 检验 类 ”命令 或 者 在 右面 部 分 右 击 , 在 弹出 的 快捷 菜单 中 选择 
“新 建 检 验 类 ”命令 ,还 可 以 在 上 面 的 菜单 “检验 类 管理 ”中 选择 “新 建 检验 类 ”选项 ,都 会 看 
到 图 5-43 所 示 的 “新 建 检 验 类 ”对 话 框 。 

输入 新 的 检验 类 信息 后 单 击 “ 确 定 ”, 则 新 建 一 个 检验 类 ,否则 单 击 “ 取 消 ” 按 钮 取消 新 
建 操作 。 


2. 查看 检验 类 

选中 左面 树 的 某 一 个 检验 类 节点 右 击 ,在 弹出 的 快捷 菜单 中 选择 “查看 检验 类 ”命令 ， 
会 看 到 图 5-44 所 示 的 “查看 检验 类 详细 信息 ”对 话 框 。 

或 者 在 系统 主 界 面 中 ,选中 右面 列表 中 某 一 个 检验 类 , 单 击 该 检验 类 的 记录 ,在 列表 
下 方 可 显示 该 检验 类 的 详细 信息 。 


8 第 5 阐 二 ,三 \ 四 级 安全 应 用 平台 功能 符合 性 检验 工具 集 的 使 用 


在 查看 页 面 中 单 击 “ 修 改 ” 按 钮 ,会 进入 修改 检验 类 信息 页 面 (下 面 会 详细 介绍 )。 单 
击 “ 取 消 ?按钮 返回 。 


图 5-43 “新 建 检验 类 ?对 话 框 


图 5-44 “查看 检验 类 详细 信息 ”对 话 框 


3. 修改 检验 类 

选中 左面 树 的 某 一 个 检验 类 节点 右 击 ,在 弹出 的 快捷 菜单 中 选择 “修改 检验 类 ”命令 ， 
会 看 到 图 5-45 所 示 的 “修改 检验 类 详细 信息 ”对 话 框 。 

修改 完毕 该 检验 类 信息 后 单 击 “ 确 定 ” 按 钮 返回 ; 单 击 “ 取 消 ” 按 钮 可 取消 修改 操作 。 

或 者 在 系统 主 界 面 中 ,选中 右面 列表 中 某 一 个 检验 类 单 击 ,然后 单 击 列表 下 方 检验 类 
详细 信息 的 “修改 ?按钮 ,就 可 以 对 该 检验 类 进行 修改 ,修改 完毕 后 单 击 “ 确 定 ?按钮 即 可 
保存 。 
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.5.4 使 用 操作 演示 


图 5-45 “修改 检验 类 详细 信息 ”对 话 框 


4. 删除 检验 类 
选中 左面 树 的 某 一 个 检验 类 节点 右 击 ,在 弹出 的 快捷 菜单 中 选择 “删除 检验 类 ”命令 ， 
或 者 选中 右面 列表 中 某 一 个 检验 类 ,然后 右 击 , 在 弹出 的 快捷 菜单 中 选择 “删除 检验 类 ” 命 
令 , 或 者 选中 右面 列表 中 某 一 个 检验 类 ,然后 单 击 上 面 菜单 中 的 “删除 检验 类 ”命令 ,在 弹 


出 的 图 5-46 所 示 的 “确认 删除 ”对 话 框 中 单 击 “ 是 ”按钮 删除 被 选中 的 检验 类 ,或 单 击 “ 否 ” 
取消 删除 操作 。 


图 5-46 “确认 删除 ”对 话 框 


信息 安全 风险 评估 工具 


的 使 用 


_ 体系 结构 


奥运 信息 网 络 安全 风险 评估 系统 为 奥运 相关 网 络 及 信息 系统 风险 评估 提供 了 支撑 。 
信息 系统 由 于 安全 威胁 的 存在 和 脆弱 性 不 能 及 时 得 到 弥补 ,总 会 存在 这 样 或 那样 的 安全 
隐患 。 风 险 评估 旨 在 通过 对 系统 关键 资产 各 方面 的 评估 ,从 安全 威胁 的 可 能 性 和 影响 两 
个 方面 分 析 系 统 的 安全 风险 。 

本 系统 以 威胁 来 源 为 核心 ,通过 威胁 分 析 发 现 现 有 的 安全 威胁 ,在 此 基础 上 确定 威胁 
所 针对 的 脆弱 性 ,进一步 分 析 保 护 对 象 存在 的 脆弱 性 ,明确 威胁 对 保护 对 象 造成 的 影响 ， 
从 而 实施 风险 评估 工作 。 

根据 对 近期 奥运 相关 风险 评估 的 需求 以 及 中 远 期 针对 行业 的 信息 安全 风险 评估 需 
求 ,该 系统 设计 应 该 考虑 到 针对 各 类 信息 资产 所 特定 面临 威胁 类 别 及 其 可 被 利用 脆弱 人 性 
的 关系 群集 合 所 覆盖 的 各 类 风险 要 素 。 

对 于 风险 要 素 资产 ,威胁 脆弱 性 的 识别 ,可 采用 按 类 自动 搜索 文档 输入 以 及 手动 输 
入 三 种 方式 进行 ;资产 重要 性 的 赋值 可 按 类 根据 其 CIA 属性 及 其 所 受 影响 计算 ;威胁 赋 
值 可 根据 各 类 资产 所 面临 的 具体 威胁 类 别 的 历史 故障 统计 或 根据 国际 、 国 内 发 布 的 该 类 
威胁 的 统计 数据 进行 计算 ;脆弱 性 赋值 可 根据 通用 和 专用 的 漏洞 扫描 结果 进行 赋值 ;三 要 
素 赋值 均 按照 国家 标准 算法 进行 计算 。 奥 运 信息 网 络 安全 风险 评估 系统 逻辑 结构 如 
图 6-1 所 示 。 

该 风险 评估 系统 功能 设计 分 为 四 个 层次 : 用 户 接口 层 ` 数 据 处 理 层 、 数 据 存储 层 和 数 
据 获 取 层 。 

@ 用 户 接口 层 由 保护 对 象 分 析 、 威 胁 分 析 \ 脆 弱 性 分 析 ` 已 有 控制 措施 分 析 、 风 险 分 
析 、 风 险 处 置 、 统 计 分 析 、 项 目 管理 以 及 系统 管理 等 功能 模块 组 成 ,人 工 、 文 档 数据 的 输入 
处 理 也 由 该 层 的 各 相关 功能 模块 实现 。 

@ 数据 处 理 层 负责 系统 的 管理 和 配置 风险 要素 的 关联 分 析 、 智 能 分 析 和 结果 判定 、 
结果 提取 及 统计 分 析 等 功能 。 由 于 通过 人 工 输入 、 表 单 获取 和 扫描 工具 等 手段 获取 的 数 
据 格 式 不 同 ,系统 将 在 数据 处 理 层 提供 统一 的 可 供 识别 的 数据 格式 来 实现 数据 的 合并 
处 理 。 


人 


二 信息 安全 风险 评估 用 户 界 面 
让 接口 层 | [保护 对 | [ 威 肪 | [及 弱 性 | | 已 有 控制 | | 风险 || 风险 | | 统计 ] | 项目 | | 系统 
象 分 析 | | 分 析 | | 分 析 | | 措施 分 析 | | 分 析 || 处 置 | | 分 析 | | 管理 | | 管理 
TJ il i 
系统 管理 和 配置 结果 提取 统计 分 析 
数据 处 理 层 “| 党 | 系 | | 系 || 系 和 能 分 析 和 结果 到 定 
监 || 管 | | 配 || 安 
控 || 理 | | 转 || 全 风险 要 素 关联 分 析 
i TU TU 
be 于 pre 4 一 人 和 WE 厂 | a 
数据 存储 层 资产 亚 意 行为 及 | | 奥运 通用 | 已 有 控制 | a | 
数据 库 ) 故障 数据 库 | | 漏洞 库 漏洞 库 ) 人 措施 库 数据 库 
i i i 
风险 要 素 监控 、 扫描 
数据 获取 层 [内容 安全 监控 器 | |。 专用 扫描 器 | ”通用 扫描 器 | 


图 6-1 奥运 信息 网 络 安全 风险 评估 系统 逻辑 结构 


@ 数据 获取 层 负责 各 类 风险 要 素 的 识别 .扫描 分 析 , 包 含 内 容 安全 监控 器 、 专 用 扫描 
器 、 通 用 扫描 器 等 功能 模块 。 其 中 : 
。 内 容 安全 监控 器 主要 负责 信息 内 容 资 产 以 及 信息 内 容 敏 感 数据 (威胁 因素 ?收集 ， 
所 收集 的 信息 分 别 存 储 在 数据 存储 层 的 资产 数据 库 和 恶意 行为 及 故障 数据 库 中 ， 
以 便 用 户 接口 层 的 调用 分 析 。 

。 专用 扫描 器 主要 负责 奥运 Web 应 用 服务 的 漏洞 扫描 ,存储 在 奥运 漏洞 数据 库 中 ， 
以 便 对 照 配 合 内 容 安全 监控 器 搜集 的 资产 类 及 威胁 类 数据 的 关联 分 析 。 

。 通用 扫描 器 主要 负责 通用 漏洞 的 扫描 ,其 扫描 数据 按 资产 和 脆弱 性 类 别 分 别 存储 
在 数据 存储 层 的 资产 数据 库 和 通用 脆弱 性 数据 库 中 。 

@ 数据 存储 层 负责 对 六 大 类 数据 库 的 维护 和 管理 ,它们 分 别 是 : 资产 数据 库 、 恶 意 
行为 及 故障 数据 库 、 奥 运 漏洞 库 \ 通 用 漏洞 库 、 已 有 控制 措施 库 和 风险 分 析 数 据 库 。 这 几 
类 数据 库 除了 从 数据 获取 层 的 三 大 监控 扫描 工具 中 自动 获取 之 外 ,在 评估 过 程 中 还 可 以 
通过 各 类 调研 、 调 查 数据 、 专 业 人 员 访 谈 等 手段 ,在 评估 系统 客户 端 经 人 工 输入 对 各 类 数 
据 进行 补充 修订 ,存储 到 相应 的 数据 库 中 。 已 有 措施 控制 库 的 数据 主要 来 源 于 对 被 评估 
对 象 的 实际 调研 ,并 通过 人 工 输 入 的 方式 输入 到 数据 库 中 。 人 工 输入 的 方式 有 两 种 : 一 
种 是 通过 功能 模块 中 对 各 类 风险 要 素 的 编辑 实现 增加 、 删 减 、 修 改 等 的 操作 ; 另 一 种 是 按 
照 特 定 的 数据 格式 将 所 有 已 编辑 好 的 各 风险 要 素 及 其 属性 数据 一 次 性 读 取 到 数据 库 中 存 
储 ,实现 批量 处 理 。 
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功能 结构 


信息 安全 风险 评估 系统 共有 12 个 模块 ,分 别 为 系统 功能 模块 .类 型 管理 模块 .用 户 管 
理 模 块 、 项 目 管理 模块 .保护 对 象 功 能 模块 威胁 分 析 模 块 、 脆 弱 性 分 析 模 块 、 控 制 措施 有 
效 性 分 析 模 块 、 风 险 分 析 模 块 、 风 险 处 置 模 块 、 统 计 分 析 模 块 和 报告 生成 模块 。 其 中 保护 
对 象 分 析 模 块 又 可 细 分 为 4 个 模块 ,分 别 为 网 络 资产 软件 及 服务 资产 、 信 息 及 内 容 资 产 
和 人 员 资 产 。 脆 弱 性 分 析 模 块 也 可 细 分 为 3 个 模块 ,分 别 为 手工 检查 、 管 理 核查 和 技术 测 
试 ,如 图 6-2 所 示 。 


I 
系 类 | | 上 项 保 威 控 反 风 腹 统 报 
统 型 | | 户 目 护 胁 制 险 险 弱 评 告 
功 管 | | 管 管 对 分 措 分 处 性 分 生 
能 理 | | 理 理 象 析 施 析 置 分 析 成 
模 模 | | 模 模 功 模 有 模 模 析 模 模 
块 块 | | 块 块 能 块 效 块 块 模 块 块 
模 性 块 
块 分 
析 
块 
| I 
网 软 信 大 管 技 
络 件 息 员 理 术 
资 及 及 资 检 核 测 | 
产 服 内 让 查 查 试 | 
务 容 
资 资 
ES Ti 


图 6-2 奥运 信息 网 络 安 全 风险 评估 系统 模块 结构 


系统 功能 模块 提供 系统 相关 的 访问 控制 功能 ,是 综合 分 析 平 台 安全 的 保证 。 类 型 管 
理 模 块 包括 风险 分 析 过 程 中 各 相关 分 析 因素 的 类 型 管理 ,属于 分 析 平 台 整 体 设置 的 范畴 。 
用 户 管理 模块 提供 系统 用 户 信息 和 权限 管理 功能 ,与 访问 控制 功能 相 结合 为 综合 分 析 平 
台 运 行 提供 了 保证 。 保 护 对 象 分 析 、 威 胁 分 析 、 控 制 措施 分 析 、 脆 弱 性 分 析 模 块 、 风 险 分 析 
以 及 风险 处 置 模块 提供 了 一 个 针对 特定 项 目的 完整 风险 评估 和 计算 流程 。 统 计 分 析 模 块 
则 是 针对 上 述 各 个 阶段 分 析 结 果 进 行 的 数据 统计 和 分 析 。 

其 中 ,威胁 分 析 模 块 对 外 提供 与 内 容 监 控 器 的 接口 ,同时 该 模块 后 台 需 要 恶意 行为 库 
的 支撑 方 能 完成 最 终 的 威胁 分 析 。 脆 弱 性 分 析 模 块 的 技术 测试 部 分 为 通用 扫描 器 提供 了 
扫描 结果 的 导 人 接口 。 

类 型 管理 模块 后 台 需 要 保护 对 象 类 型 库 、 恶 意 行为 库 、 脆 弱 性 类 型 库 和 控制 措施 类 型 库 
的 支持 。 为 了 实现 以 上 的 方便 ,在 系统 的 设计 中 保护 对 象 类 型 库 、 脆 弱 性 类 型 库 和 控制 措施 
类 型 库 都 以 系统 库 中 的 相关 数据 表 的 方式 实现 。 恶 意 行 为 库 则 作为 一 个 单独 的 库存 在 。 
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”设计 与 实现 _ 


6.3.1 系统 权限 设计 


系统 共 设 5 类 用 户 。 其 中 可 分 为 两 个 大 类 , 即 系统 管理 员 和 普通 用 户 。 普 通用 户 又 
可 分 为 项 目 经 理 . 手 工 检查 人 员 、 管 理 核查 人 员 技术 测试 人 员 4 类 ,如 图 6-3 所 示 。 


系统 用 户 


系统 管理 员 普通 用 户 


I 
| 管理 核查 人 员 


| I 
| 项 目 经 理 | | 手工 检查 人 员 


| 
| 技术 测试 人 员 


图 6-3 奥运 信息 网 络 安全 风险 评估 系统 的 用 户 结构 


系统 管理 员 负 责 维护 整个 评估 平台 。 系 统管 理 员 负责 创建 删除 评估 项 目 , 设 定 可 访 
问 了 P, 添 加 、 删 除 用 户 ,指定 项 目的 项 目 经 理 、 管 理 核查 人 员 和 技术 测试 人 员 。 

项 目 经 理 为 所 制定 的 项 目 负责 。 例 如 可 以 指定 手工 检查 人 员 ,填写 项 目 信息 ,进行 保 
护 对 象 分 析 、 威 胁 分 析 、 脆 弱 性 分 析 、 控 制 措施 有 效 性 分 析 、 风 险 分 析 、 风 险 处 置 和 统计 分 
析 等 。 

手工 检查 人 员 负 责 脆弱 性 分 析 中 的 手工 检查 ,并 进行 手工 检查 测试 表单 答案 的 填写 、 
修改 和 删除 等 工作 。 

管理 核查 人 员 负 责 脆弱 性 分 析 中 的 管理 核查 ,并 进行 管理 核查 表单 答案 的 填写 .修改 
和 删除 等 工作 。 

技术 测试 人 员 负 责 脆弱 性 分 析 中 的 技术 测试 ,并 进行 扫描 器 和 内 容 监控 器 的 扫描 和 
监控 功能 ,然后 将 结果 按 固 定格 式 保存 成 XML 文档 。 


6.3.2 ”接口 设计 


1. 外 部 接口 
奥运 信息 网 络 安全 风险 评估 系统 的 外 部 接口 主要 是 与 扫描 器 和 内 容 监控 器 的 接口 。 
两 者 之 间 的 接口 为 XML 格式 的 结果 。 扫 描 服务 器 对 目标 网 络 扫描 完成 以 及 内 容 监 控 器 
都 会 生成 XML 格式 的 结果 ,奥运 信息 网 络 安全 风险 评估 系统 可 将 扫描 结果 导 人 系统 ,如 
图 6-4 所 示 。 
2. 用 户 接 口 
本 系统 为 用 户 提供 了 易于 操作 的 用 户 界面 ,用 户 要 进行 的 各 种 操作 通过 在 各 个 界面 
上 单 击 或 输入 或 提交 就 可 以 完成 。 对 于 该 系统 在 运行 过 程 中 随时 可 能 出 现 的 各 类 提示 信 
si | BS ss 


XML 格式 的 
了 全 | | 扫描 结果 


导入 


风险 评估 系统 
图 6-4 风险 评估 系统 外 部 接口 


息 和 警告 信息 ,大 多 会 用 页 面 提示 信息 来 显示 。 另 外 ,基于 系统 安全 的 考虑 ,系统 对 用 户 
权限 有 严格 的 控制 ,这 样 具 有 不 同 权限 的 用 户 可 以 进行 的 操作 就 不 相同 ,用 户 不 能 使 用 的 
功能 对 用 户 来 说 是 可 见 不 可 用 。 另 外 ,由 于 测评 流程 有 着 严格 的 顺序 限制 ,这 样 用 户 可 见 
但 不 能 进行 操作 也 可 能 是 因为 当前 项 目 还 不 具备 进行 该 操作 的 数据 。 系 统 主 界 面 ,如 
图 6-5 所 示 。 


图 6-5 登录 界面 


3. 内 部 接口 
系统 各 模块 之 间 通 过 数据 库 共享 数据 ,因此 系统 内 部 接口 的 设计 实际 可 以 归结 为 系 


统 数据 库 的 设计 。 
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.6.4 使 用 操作 演示 


6.3.3 数据 结构 设计 


从 逻辑 上 来 说 ,风险 评估 涉及 到 的 主要 概念 包括 保护 对 象 威胁、 系统 信息 、 脆 弱 
性 、 安 全 措施 、 风 险 等 。 在 风险 评估 的 实施 过 程 中 有 可 能 会 借助 技术 测试 和 管理 核 
查 等 手段 ,有 可 能 会 涉及 到 测试 表单 和 测试 方法 ,以 及 问卷 .问题 和 答案 等 。 这 些 概 
念 在 系统 的 设计 过 程 中 都 将 与 相应 的 类 对 应 。 类 之 间 的 逻辑 关系 设计 如 图 6-6 所 
示 。 此 外 ,保护 对 象 由 于 分 为 不 同 的 类 别 ,因此 与 其 他 类 之 间 是 父子 的 关系 。 具 体 
类 的 继承 关系 如 图 6-7 所 示 。 


| Questionnair 类 (问卷 ) 


Question 类 (问题 ) Risk 类 SecMeasure 类 
| QuestionKey 类 (问题 答案 ) | (风险 ) (安全 措施 ) 
$ 


SysInfo 类 Asset 类 Threat 类 
(系统 信息 ) (保护 对 象 } (威胁 ) 


| | 


1 


一 TestTable 类 User 类 

Vulnerability 类 (测试 表单 ) (用 户 ) 
(脆弱 性 ) 二 
TestMethod 类 


(测试 方法 ) 


图 6-6 类 设计 结构 


Asset 类 
保护 对 象 
继承 继承 
NetworkAsset 类 SofiServAsset 类 InfoContAsset 类 PersonnelAsset 类 
网 络 资产 软件 服务 资产 信息 内 容 资产 人 员 资 产 


图 6-7 保护 对 象 类 的 继承 关系 


_ 使 用 操作 演示 


6.4.1 用 户 登 录 


配置 好 数据 库 和 IIS 之 后 ,打开 浏览 器 ,在 地 址 栏 输入 “http://localhost/oly-replat”， 
按 回 车 键 之 后 浏览 器 会 进入 用 户 登录 界面 。 然 后 输入 相应 的 用 户 名 、 和 密码、 验证 码 之 后 就 
可 以 登录 系统 了 。 根 据 用 户 角 色 的 不 同 ,登录 后 的 界面 及 可 使 用 的 功能 会 有 所 不 同 , 主 要 
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分 为 管理 员 角 色 功 能 模块 和 普通 用 户 功能 模块 ,下 面 将 分 别 以 这 两 种 用 户 身份 为 例 进 行 
相应 的 操作 演示 。 


6.4.2 ”系统 管理 员 操 作 演 示 


1. 项 目 管理 

用 户 以 系统 管理 员 身份 登录 后 所 显示 的 对 话 框 就 是 项 目 管理 对 话 框 。 用 户 还 可 以 通 
过 单 击 左 侧 “ 风 险 评估 ”链接 进入 项 目 管理 。 

(1) 新 建 项 目 

在 主页 面 上 单 击 “新 建 项 目 ” 按 钮 将 进入 新 建 项 目 界面 ,如 图 6-8 所 示 。 


Tt 


图 6-8 新建 项 目 对 话 框 


在 页 面 中 输入 系统 编号 、 系 统 名 称 、 开 始 时 间 , 并 选 定 项 目 经 理 后 单 击 “ 确 定 ” 按 钮 , 即 
可 生成 一 个 新 项 目 。 单 击 “ 取 消 ” 按 钮 将 返回 。 

输入 项 目 开始 时 间 可 以 利用 页 面 中 的 日 历 控件 选取 。 

(2) 删除 项 目 

项 目 删除 可 以 通过 选择 或 者 批量 的 方式 进行 删除 。 

选择 方式 删除 方式 是 首先 在 对 话 框 中 选取 一 个 或 多 个 项 目 , 单 击 “ 删 除 所 选 ?按钮 ,页 
面 跳 转 至 确认 删除 对 话 框 , 单 击 “ 确 认 ” 按 钮 后 删除 所 选项 目 信息 。 

批量 方式 删除 方式 首先 在 主 界 面 中 单 击 “ 删 除 所 有 ?按钮 ,页面 跳 转 至 确认 删除 所 有 
项 目 对 话 框 , 单 击 “ 确 认 ? 按 钮 后 删除 所 有 项 目 信息 。 

(3) 查看 /修改 项 目 

在 主页 面 上 单 击 项 目的 系统 编号 ,将 进入 项 目的 查看 对 话 框 ,如 图 6-9 所 示 。 在 查看 
对 话 框 单 击 “ 修 改 ” 按 钮 ,将 进入 项 目的 修改 对 话 框 ,修改 完 相应 信息 后 单 击 “确定 ”按钮 完 
成 修改 操作 。 
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6.4 使 用 操作 演示 


图 6-9 查看 项 目 对 话 杠 


2. IP 访问 控制 

IP 访问 控制 是 设置 允许 访问 风险 评估 服务 器 的 所 有 客户 端的 IP 地 址 ,只 有 添加 在 
IP 列表 中 的 客户 端 才 可 以 正常 访问 服务 器 ,来 进行 风险 评估 的 相关 工作 。 

用 户 可 以 单 击 对 话 框 左 侧 “IP 访问 控制 ”链接 进入 IP 访问 控制 管理 模块 ,如 图 6-10 
所 示 。 
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6-10 “IP 访问 控制 ?对 话 杠 
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(1) 添加 可 访问 IP 

在 全 访问 控制 页 面 中 单 击 “ 添 加 允许 IP” 按 钮 ,进入 添加 IP 对 话 框 。 在 对 话 框 中 选 
择 添加 类 别 ( 单 独 IP、IP 范围 子 网 ) ,然后 单 击 “ 确 定 ” 按 钮 即 可 。 单 击 “ 取 消 ” 按 钮 ,返回 
IP 访问 控制 对 话 框 。 

《2) 删除 可 访问 卫 

在 可 访问 IP 对 话 框 选中 欲 删除 的 IP, 单 击 “ 删 除 允许 IP? 按 钮 。 会 出 现 确认 删除 对 
话 框 三 。 单 击 “ 确 认 ” 按 钮 即 可 删除 。 单 击 “ 取 消 ?按钮 返回 可 访问 IP 的 对 话 框 。 


3. 用 户 管理 
单 击 对 话 框 左 侧 的 “用 户 管理 ”链接 进入 “用 户 管理 ”对话 框 ,在 此 可 以 进行 用 户 信息 
的 添加 、 修 改 和 删除 操作 ,如 图 6-11 所 示 。 
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图 6-11 “用 户 管理 ”对 话 框 


(1) 添加 用 户 

单 击 用 户 管 理 页 面 中 的 “添加 用 户 ”按钮 ,进入 用 户 添 加 对 话 框 ,在 对 话 框 中 输入 用 户 
名 ,口令 并 选择 用 户 类 型 (系统 管理 员 、 普 道 用 户 ) , 单 击 “ 确 认 ” 按 钮 即 可 保存 。 单 击 “ 取 
消 ?按钮 返回 用 户 管理 对 话 框 。 

(2) 删除 用 户 

在 用 户 管理 页 面 选择 欲 删除 的 用 户 , 单 击 “删除 选 定 ? 按 钮 ,进入 确认 删除 对 话 框 。 再 
次 单 击 “ 确 定 ” 按 钮 后 即 可 删除 , 单 击 “ 取 消 ” 按 钮 返回 用 户 管理 对 话 框 。 

在 用 户 管理 页 面 中 单 击 “删除 全 部 ?按钮 ,进入 删除 全 部 用 户 确认 对 话 框 。 单 击 “ 确 
认 ” 按 钮 即 可 删除 所 有 用 户 , 单 击 “ 取 消 ?按钮 返回 用 户 管理 对 话 框 。 

(3) 查看 /修改 用 户 

在 用 户 管理 对 话 框 , 单 击 用 户 名 ,进入 用 户 查看 对 话 框 ,如 图 6-12 所 示 。 在 此 对 话 框 
可 查看 用 户 的 各 项 信息 (密码 除外 ) 。 
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6.4 使 用 操作 演示 


图 6-12 查看 用 户 对 话 框 
在 查看 用 户 对 话 框 中 单 击 “ 修 改 ” 按 钮 , 即 可 进入 修改 用 户 对 话 框 。 在 此 对 话 框 可 以 


修改 用 户 的 各 项 信息 ,包括 密码 (需要 知道 旧 密 码 ) 。 
修改 完成 后 , 单 击 “ 确 定 ” 按 钮 即 可 完成 保存 , 单 击 “ 取 消 ” 按 钮 返回 用 户 管理 页 面 。 


4. 用 户 自 管理 

单 击 主页 面 左 侧 “ 用 户 自 管理 ?链接 ,会 出 现 两 个 子 选项 : 修改 口令 和 修改 用 户 信 息 ， 
可 以 对 系统 管理 员 自 身 的 信息 进行 修改 。 

(1) 修改 口令 

单 击 “ 修 改口 令 ? 链 接 进 入 口令 修改 对 话 框 。 输 入 该 用 户 的 旧 密 码 和 和 欲 改 成 的 新 密码 
后 , 单 击 “确定 ?按钮 即 可 。 单 击 * 取 消 ?按钮 出 现 操 作 取消 对 话 框 。 

(2) 修改 用 户 信息 

单 击 左 侧 “ 修 改 用 户 信息 ”链接 进入 用 户 信息 修改 对 话 框 。 在 此 对 话 框 可 修改 用 户 信 
息 和 备注 两 项 ,不 可 修改 用 户 类 型 .用 户 名 等 内 容 。 


6.4.3 ”普通 用 户 操作 演示 


在 用 户 登 录 页 面 中 以 普通 用 户 身份 登录 后 ,可 以 进行 风险 评估 的 具体 操作 流程 。 一 
次 完整 的 风险 评估 流程 包含 威胁 分 析 、 保 护 对 象 分 析 、 脆 弱 性 分 析 、 控 制 措施 有 效 性 分 析 、 
风险 分 析 、 风 险 处 置 统计 分 析 以 及 生成 评估 报告 。 同 时 普通 用 户 还 可 以 对 当前 负责 的 项 
目 信息 进行 管理 。 

1. 项 目 管理 

(1) 查看 项 目 信息 

在 主页 面 中 单 击 想 要 查看 的 项 目的 编号 ,或 者 展开 左 侧 风险 评估 链接 , 单 击 其 中 想 要 


ss 191 ss 


' 第 6 章 信息 安全 风险 评估 工具 的 使 用 


查看 的 项 目 名 称 ,将 进入 项 目 信 息 查 看 页 面 ,如 图 6-13 所 示 。 单 击 页 面 中 的 “查看 网 络 拓 
扑 图 ”链接 可 在 弹出 窗口 中 查看 已 经 上 传 的 项 目的 网 络 拓 扑 图 。 


图 6-13 项 目 信息 查看 对 话 框 


(2) 修改 项 目 信息 

@ 基本 信息 

在 项 目 信息 查看 对 话 框 中 , 单 击 “ 修 改 基本 信息 ?按钮 , 即 可 进入 项 目 基本 信息 修改 对 
话 框 ,如 图 6-14 所 示 。 在 此 对 话 框 中 ,可 以 对 项 目的 系统 编号 、 系 统 名 称 、 开 始 时 间 、 结 束 
时 间 、 自 动 测试 人 员 ,问卷 评估 人 员 、 系 统 状态 进行 重新 设 定 。 

@ 描述 信息 

在 项 目 信息 查看 页 面 中 , 单 击 “ 修 改 描述 信息 ”按钮 , 即 可 进入 项 目 描 述 信息 修 改 对 话 
框 。 在 此 对 话 框 中 ,可 以 对 项 目的 业务 描述 需求 、 系 统 边 界 、 网 络 连通 性 进行 修改 ,并 可 以 
重新 上 传 网 络 拓扑 图 (会 覆盖 掉 原来 的 拓扑 图 ) 。 

@ 安全 信息 

在 项 目 信息 查看 对 话 框 中 , 单 击 “ 修 改 安全 信息 ”按钮 , 即 可 进入 项 目 安全 信息 修改 对 
话 框 。 在 此 对 话 框 中 ,可 以 对 项 目的 安全 策略 、 安 全 体系 结构 已 部 署 的 安全 产品 及 措施 、 
物理 安全 控制 措施 、 环 境 安 全 措施 进行 修改 。 

图 其 他 信息 

在 项 目 信 息 查看 页 面 中 , 单 击 “修改 其 他 信息 ”按钮 , 即 可 进入 项 目 其 他 信息 的 修改 对 
话 框 。 在 此 对 话 框 中 可 以 对 项 目的 备注 信息 进行 修改 。 
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.6.4 使 用 操作 演示 


图 6-14 项 目 基本 信息 修改 对 话 框 
2. 威胁 分 析 


单 击 左 侧 对 应 项 目下 的 “威胁 分 析 ” 链 接 , 即 可 进入 “威胁 分 析 ” 对 话 框 ,如 图 6-15 所 
示 。 此 对 话 框 可 以 进行 威胁 的 增加 .导入 、 删 除 、 修 改 和 威胁 级 别 的 计算 等 操作 。 


图 6-15 “威胁 分 析 ” 对 话 框 
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(1) 添加 威胁 

在 威胁 分 析 对 话 框 中 单 击 “添加 威胁 ”按钮 即 可 进入 威胁 添加 界面 。 本 系统 提供 两 种 
方式 进行 威胁 的 添加 ,分 别 是 向 导 添 加 和 快速 添加 。 

@ 向 导 添 加 

在 威胁 添加 对 话 框 左 侧 单 击 “ 进 入 向 导 添 加 页 面 ?链接 即 可 进行 向 导 添 加 。 向 导 添 加 
通过 七 个 步骤 ,引导 使 用 者 进行 新 添加 威胁 信息 的 设 定 。 使 用 向 导 添 加 威胁 时 ,前 三 个 步 
又 是 必需 的 ,后 四 个 步 到 的 内 容 可 以 不 填 。 

每 个 步骤 的 具体 内 容 依次 分 别 为 : 设 定 威胁 的 来 源 信息 、 设 定 威胁 的 意图 、 设 定 威胁 
的 能 力 等 级 、 填 写 威 胁 的 活动 范围 信息 (此 时 已 是 选 填 内容 ,因此 可 以 不 填 内 容 。 同 时 ,可 
以 单 击 下 方 “完成 ”按钮 ,直接 完成 威胁 的 添加 ) 、 填 写 威 胁 的 活动 方式 信息 、 添 加 威胁 的 活 
动 方式 信息 和 添加 威胁 备注 信息 。 

@ 快速 添加 

在 威胁 添加 对 话 框 左 侧 单 击 “ 进 入 快速 添加 页 面 ”链接 即 可 进入 快速 添加 对 话 框 。 在 
此 对 话 框 中 ,一 次 性 添加 所 有 需要 的 威胁 信息 。 其 中 , 带 红色 星 号 的 是 必 填 信息 ,其 余 的 
是 选 填 信息 。 

(2) 删除 威胁 

在 威胁 分 析 对 话 框 中 选中 欲 删 除 的 威胁 ,然后 单 击 “ 删 除 选 定 威胁 ”按钮 会 弹出 确认 
删除 对 话 框 。 单 击 “ 确 定 ?按钮 , 则 删除 所 选 威胁 ; 单 击 ^ 取 消 ?按钮 , 则 返回 威胁 分 析 对 
话 框 。 

在 威胁 分 析 对 话 框 中 单 击 “ 删 除 全 部 威胁 ”按钮 , 则 进入 删除 全 部 威胁 的 确认 对 话 框 。 
单 击 “ 确 定 ” 按 钮 则 确认 删除 所 有 威胁 , 单 击 “ 取 消 ” 按 钮 则 返回 威胁 分 析 主 页 面 。 

(3) 查看 /修改 威胁 

在 威胁 分 析 对 话 框 中 , 单 击 相 应 威胁 后 面 的 “ 单 击 查 看 详情 ...” 链 接 , 即 可 进入 查 
看 威胁 对 话 框 ,如 图 6-16 所 示 。 在 此 对 话 框 中 可 查看 威胁 各 种 信息 。 继 续 单 击 “ 修 
改 ” 按 钮 , 即 可 进入 修改 威胁 对 话 框 。 此 对 话 框 可 以 对 威胁 各 项 信息 进行 修改 。 修 
改 完毕 后 单 击 “ 保 存 ” 按 钮 即 可 保存 新 修改 后 的 内 容 , 单 击 “ 取 消 ” 按 钮 则 返回 威胁 分 

(4) 导 人 威胁 

本 系统 支持 XML 文件 格式 导 和 威胁。 在 威胁 分 析 对 话 框 中 单 击 “ 浏 览 ? 按 钮 ,在 弹 
出 的 对 话 框 中 的 本 地 机 器 上 选择 待 导 人 的 XML 文件 。 然 后 单 击 “ 导 入 威胁 ”按钮 即 可 将 
XML 文件 中 记录 的 威胁 导入 到 系统 中 。 

导 人 的 威胁 默认 其 威胁 能 力 等 级 为 很 低 ,如 需 改变 请 手动 更 改 。 


3. 保护 对 和 象 分 析 

保护 对 象 可 分 为 四 类 ,网 络 类 、 软 件 及 服务 类 ,信息 内 容 类 和 人 员 类 。 分 别 对 应 保护 
对 象 链接 下 面 的 四 个 子 链接 。 

单 击 “ 保 护 对 象 ”链接 即 可 进入 保护 对 象 分 析 对 话 框 ,如 图 6-17 所 示 。 
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6.4 使 用 操作 演示 


图 6-16 查看 威胁 对 话 框 
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图 6-17 保护 对 象 分 析 对 话 框 


(1) 添加 保护 对 象 

在 保护 对 象 分 析 对 话 框 中 单 击 “ 添 加 保护 对 象 ? 按 钮 , 即 可 进 人 保护 对 象 添加 对 话 框 ， 
如 图 6-18 所 示 。 在 各 栏 填 人 或 者 选择 相应 的 内 容 , 单 击 “ 确 认 ” 按 钮 即 可 完成 添加 。 单 击 
“取消 ”按钮 返回 。 
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图 6-18 ”保护 对 象 添加 对 话 框 


(2) 删除 保护 对 象 

在 保护 对 象 分 析 对 话 框 中 ,选中 欲 删除 的 保护 对 象 , 单 击 “ 删 除 选 定 ” 按 钮 ,将 进入 保 
护 对 象 删除 确认 对 话 框 。 在 此 对 话 框 中 单 击 “ 确 认 ” 按 钮 完成 删除 , 单 击 “ 取 消 ” 按 钮 返回 
保护 对 象 分 析 对 话 框 。 

在 保护 对 象 分 析 对 话 框 中 , 单 击 “ 删 除 全 部 ?按钮 ,将 进入 删除 全 部 保护 对 象 确认 对 话 
框 。 在 此 对 话 框 , 单 击 “ 确 认 ? 按 钮 完成 删除 , 单 击 “ 取 消 ?按钮 返回 。 

(3) 查看 /修改 保护 对 象 

在 保护 对 象 分 析 对 话 框 , 单 击 保护 对 象 编号 可 进入 相应 保护 对 象 信息 查看 对 话 框 。 
在 此 对 话 框 可 以 查看 保护 对 象 的 基本 信息 、 价 值 信息 和 其 他 信息 。 

在 保护 对 象 信息 查看 对 话 框 中 单 击 “ 修 改 基本 信息 ”按钮 可 进入 保护 对 象 基本 信息 
修改 。 

在 保护 对 象 信息 查看 对 话 框 中 单 击 “ 修 改 价值 信息 ”按钮 可 进入 保护 对 象 价值 信息 修 
改 对 话 框 ,如 图 6-19 所 示 。 在 此 对 话 框 中 将 对 保护 对 象 的 完整 性 价值 可 用 性 价值 机密 
性 价值 进行 设 定 。 同 时 还 将 设 定 保护 对 象 这 三 类 价值 在 总 体 价值 中 的 权重 ,并 可 选择 是 
否 使 用 默认 权重 。 男 外 , 单 击 页 面 中 的 “ 单 击 查看 详细 帮助 信息 ”链接 将 弹出 新 窗口 ,里 面 
详细 介绍 了 各 项 价值 如 何 取 值 。 

在 保护 对 象 信息 查看 对 话 框 中 单 击 “ 修 改 其 他 信息 ”按钮 ,将 进入 保护 对 象 其 他 信息 
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.6.4 使 用 操作 演示 


图 6-19 保护 对 象 价值 信息 修改 对 话 框 


(4) 保护 对 象 分 类 操作 
在 保护 对 象 分 析 链接 下 有 四 个 子 链接 ,如 图 6-20 所 示 。 单 击 后 可 针对 某 一 类 保护 对 


象 进行 操作 。 操 作 方法 与 上 面 介绍 的 相同 。 AAA 


| 4 络 类 保护 对 旬 
4. 脆弱 性 分 析 作用 服务 类 保护 对 旬 
脆弱 性 测试 分 为 两 类 ,分别 是 技术 测试 和 管理 核查 。 | 内 容 类 保护 对 旬 
(1) 技术 测试 ， “人 员 类 保护 对 象 


技术 测试 包括 两 部 分 ,手工 检查 和 扫描 结果 导入 。 手 荆 “下 叶 分 析 


检查 是 通过 问卷 的 形式 对 设备 等 进行 技术 上 的 配置 检查 从 而 图 6-20 保护 对 象 分 析 
识别 出 设备 中 的 脆弱 点 。 扫 描 结 果 导 人 是 将 扫描 器 扫描 的 结 及 其 子 链接 
果 导 人 到 系统 中 。 

QO 手工 检查 

在 对 话 框 左 侧 依次 单 击 “脆弱 性 分 析 ” 链 接 “ 技 术 测试 ”链接 “手工 检查 ”链接 ,将 进 
入 手工 检查 对 话 框 ,如 图 6-21 所 示 。 使 用 者 可 以 通过 对 话 框 上 方 的 下 拉 菜 单 选择 欲 检查 
的 保护 对 象 ,并 按照 对 话 框 提供 的 问题 和 步骤 去 考量 。 同 时 ,使 用 者 可 以 通过 “导出 安全 
检查 操作 手册 ”和 “导出 安全 评估 表 ” 两 个 按钮 将 手工 检查 文件 导出 为 Word 文档 ,进而 打 
印 使 用 。 当 后 台 标准 库 修改 后 ,可 以 通过 “生成 新 的 表单 ”按钮 重新 生成 表单 。 

@ 扫描 结果 导入 及 查看 

单 击 左 侧 “ 扫 描 结果 导 人 ”链接 ,将 进入 扫描 结果 导入 及 查看 对 话 框 ,如 图 6-22 所 示 。 
在 此 对 话 框 中 可 以 导入 并 查看 自动 测试 人 员 通 过 扫描 器 获得 的 脆弱 性 。 
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图 6-21 “手工 检查 ?对 话 框 


二 上 及 绸 计生 才 轩 
当 疗 浏 洗 据 芝 省 
区号 分 机 


兴 用 户 自 管理 
适中 


图 6-22 扫描 结果 查看 对 话 框 


在 此 对 话 框 中 , 单 击 “ 浏 览 ” 选 择 待 导 人 的 XML 文件 ,再 单 击 “ 导 入 扫描 结果 ”按钮 ， 
将 显示 导 人 对 话 框 。 选 择 想 要 导 人 的 主机 , 单 击 “ 导 人 ”按钮 即 可 导入 , 单 击 “ 取 消 ” 按 钮 返 
回 扫 描 结果 查看 对 话 框 。 
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在 扫描 结果 查看 对 话 框 中 单 击 某 一 脆弱 性 的 “查看 ”链接 可 以 查看 该 脆弱 性 的 详情 。 

(2) 管理 核查 

管理 核查 包括 两 部 分 ,问卷 的 生成 和 查看 。 项 目 经 理 有 权限 查看 问卷 ,问卷 管理 人 员 
可 以 进行 问卷 的 生成 删除 和 修改 。 

中 生成 问 着 

风险 评估 人 员 进 行 管理 核查 前 需要 先生 成 调查 问卷 , 而 要 生成 调查 问卷 必须 以 问 着 
评估 人 员 的 身份 登录 系统 ,而 且 生 成 问卷 所 属 项 目 中 的 基本 信息 中 “问卷 评估 人 员 ” 选 项 
必须 为 当前 登录 用 户 。 

具体 的 问卷 生成 操作 流程 请 参考 管理 核查 人 员 操 作 演 示 部 分 的 内 容 。 

@ 查看 问卷 

单 击 对 话 框 左 侧 的 “查看 问卷 ”链接 ,进入 问卷 查看 对 话 框 ,如 图 6-23 所 示 。 


图 6-23 “查看 问卷 ”对 话 框 


(3) 脆弱 性 分 析 结果 管理 

单 击 对 话 框 左 侧 “ 脆 弱 性 分 析 结果 管理 链接 进入 脆弱 性 分 析 结 果 管 理 对 话 框 , 如 
图 6-24 所 示 。 在 此 对 话 框 中 可 以 查看 经 过 技术 测试 后 得 到 的 技术 类 脆弱 性 ,同时 可 以 添 
加 、 修 改 在 查看 过 管理 核查 问卷 后 发 现 的 管理 类 脆弱 性 。 

@ 新 建 脆弱 性 

在 “脆弱 性 分 析 结 果 ” 对 话 框 中 单 击 “ 新 建 ” 按 钮 可 以 新 建 管理 脆弱 性 ,如 图 6-25 所 
示 。 其 中 带 红色 型 号 的 项 是 必 填 项 。 新 建 脆弱 性 信息 时 ,在 “影响 的 保护 对 象 类 ”选项 中 
填写 的 内 容 一 定 是 在 “保护 对 象 分 析 ” 中 已 经 存在 的 信息 ,在 “对 应 的 威胁 ”选项 中 填写 的 
内 容 一 定 是 在 “威胁 分 析 ” 中 已 经 存在 的 威胁 信息 ,只 有 这 样 ,所 添加 的 脆弱 性 、 保 护 对 象 
以 及 威胁 才能 互相 关联 ,后 续 的 风险 分 析 中 才能 得 出 正确 的 计算 结果 。 
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图 6-24 “脆弱 性 分 析 结 果 ” 对 话 框 


图 6-25 “添加 管理 脆弱 性 ”对 话 框 


@ 查看 与 修改 
在 脆弱 性 分 析 结 果 管 理 对 话 框 堪 侧 , 单 击 某 脆弱 性 的 “查看 ”链接 可 以 进 人 该 脆弱 性 


的 查看 对 话 框 ,如 图 6-26 所 示 。 
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图 6-26 “查看 脆弱 性 ”对 话 框 


在 脆弱 性 分 析 结果 管理 对 话 框 中 单 击 某 管理 类 脆弱 性 的 “编辑 ?链接 ,可 以 对 该 管理 
类 脆弱 性 进行 修改 。 但 是 对 于 技术 类 脆弱 性 不 能 进行 修改 。 

图 删除 脆弱 性 

在 脆弱 性 分 析 结果 管理 对 话 框 中 ,选中 欲 删 除 的 脆弱 性 , 单 击 “ 删 除 选 定 ?按钮 ,此 时 
弹出 确认 删除 对 话 框 ,如 图 6-27 所 示 。 单 击 “ 取 消 ?按钮 返回 脆弱 性 分 析 结 果 管 理 对 话 


6-27 删除 脆弱 性 分 析 结 果 确 认 对 话 杠 
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框 。 单 击 “ 确 认 ? 按 钮 , 若 未 选取 , 则 弹出 对 话 框 提示 未 选取 脆弱 性 分 析 结果 , 若 选取 的 是 
技术 脆弱 人 性, 则 弹出 对 话 框 提 示 技 术 脆弱 性 不 能 删除 , 若 选 取 的 是 管理 类 脆弱 性 , 则 可 进 
行 删除 。 


5. 控制 措施 有 效 性 分 析 
单 击 左 侧 “控制 措施 有 效 性 分 析 ” 链 接 , 进 入 “控制 措施 有 效 性 分 析 ” 对 话 框 ,如 
图 6-28 所 示 。 


图 6-28 “控制 措施 有 效 性 分 析 ” 对 话 框 


(1) 添加 控制 措施 

单 击 “ 添 加 措施 ?按钮 ,进入 控制 措施 添加 对 话 框 , 如 图 6-29 所 示 。 其 中 控制 措施 的 
名 称 、. 类 型 及 有 效 性 程度 是 必 选 项 。 填 写 完 成 后 单 击 “ 确 定 ? 按 钮 完成 添加 。 

(2) 查看 与 修改 

在 控制 措施 有 效 性 分 析 对 话 框 中 , 单 击 欲 修改 的 控制 措施 的 名 称 , 进 入 控制 措施 查看 
对 话 框 ,如 图 6-30 所 示 。 在 查看 对 话 框 中 单 击 “修改 "按钮 ,进入 修改 对 话 框 。 修 改 完 成 
后 单 击 “ 确 定 ” 按 钮 完成 修改 。 

(3) 删除 控制 措施 

在 控制 措施 有 效 性 分 析 对 话 框 中 ,选择 欲 删 除 的 控制 措施 , 单 击 “ 删 除 选 定 ?按钮 , 进 
入 确认 删除 对 话 框 , 单 击 “ 确 认 ” 按 钮 完成 删除 。 

在 控制 措施 有 效 人 性 分 析 对 话 框 中 , 单 击 “ 删 除 全 部 ?按钮 ,进入 确认 删除 全 部 措施 对 话 
框 , 单 击 “ 确 认 ” 按 钮 完成 删除 所 有 控制 措施 。 
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图 6-29 控制 措施 添加 对 话 杠 


图 6-30 控制 措施 查看 对 话 杠 


(4) 设 定 控 制 措施 有 效 性 等 级 
单 击 左 侧 “ 设 定 控制 措施 有 效 性 等 级 ”链接 进入 设置 页 面 ,如 图 6-31 所 示 。 


.6.4 使 用 操作 演示 . 
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图 6-31 控制 措施 有 效 性 等 级 设置 页 面 


单 击 对 应 控制 措施 一 栏 的 “ 单 击 查 看 ”链接 ,进入 针对 保护 对 象 威胁 的 对 应 控制 措施 
查看 设置 页 面 。 在 此 页 面 可 以 设置 哪些 控制 措施 是 针对 此 威胁 的 。 选 择 欲 选取 的 控制 措 
施 , 单 击 “ 保 存 ” 按 钮 完成 关联 。 单 击 控制 措施 名 称 可 以 在 弹出 窗口 中 查看 控制 措施 的 具 
体内 容 。 

控制 措施 有 效 性 分 析 页 面 右 侧 的 下 拉 列 表 用 来 设置 有 效 性 等 级 ,参考 了 相关 联 的 控制 
措施 后 ,在 这 里 设 定 一 个 综合 的 等 级 。 选 择 完毕 后 单 击 “ 保 存 本 页 ”按钮 可 完成 保存 。 单 击 
“保存 全 部 ”按钮 可 保存 所 有 针对 威胁 的 有 效 性 等 级 ,但 是 其 他 页 面 的 等 级 会 以 “很 低 ” 保 存 。 


6. 风险 分 析 
单 击 左 侧 “ 风 险 分析 ” 链 接 进入 风险 分 析 页 面 ,如 图 6-32 所 示 。 单 击 “ 计 算 风险 ”按钮 
可 以 重新 计算 风险 值 。 


7. 风险 处 置 

单 击 左 侧 “ 风 险 处 置 ” 链 接 ,进入 风险 处 置 页 面 ,如 图 6-33 所 示 。 此 页 面 显示 等 级 为 
高 或 者 极 高 的 风险 。 可 单 击 左 侧 树 进行 分 类 查看 。 单 击 具体 威胁 的 “查看 详情 ”进入 查看 
页 面 。 单 击 “ 修 改 ” 按 钮 ,进入 修改 对 话 框 对 风险 处 置 的 相应 信息 进行 修改 。 


8. 统计 分 析 

展开 左 侧 “ 统 计 分 析 ” 选 项 ,会 看 到 四 个 子 项 目 : 保护 对 象 统计 、 威 胁 统计 、 脆 弱 性 统 
计 和 风险 统计 。 保 护 对 象 统计 针对 保护 对 象 的 重要 性 等 级 进行 统计 ,威胁 统计 针对 威胁 
的 威胁 等 级 进行 统计 ,脆弱 性 统计 针对 脆弱 性 的 脆弱 性 等 级 进行 分 析 ,风险 统计 针对 保护 
对 象 的 风险 等 级 进行 统计 。 这 四 项 操作 基本 相同 , 现 仅 介绍 保护 对 象 统计 。 
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图 6-32 ”风险 分 析 页 面 
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图 6-33 ”风险 处 置 页 面 


保护 对 象 统计 页 面 如 图 6-34 所 示 。 图 形 左上 选择 统计 图 或 者 分 布 图 ,下 面 的 列表 选 
择 保 护 对 象 的 类 型 。 统 计 图 最 多 显示 10 个 ,如 果 超 过 10 个 可 以 单 击 图 形 下 方 链接 查看 
所 有 统计 图 。 如 图 6-35 和 图 6-36 所 示 。 
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网 阁 类 慰 护 对 象 重要 性 等 级 统计 图 
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保护 对 象 名 称 


图 6-34 统计 图 


保 沪 对 名 要 严 信 等级 


图 6-35 ”全 部 统计 图 
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6-36 分布 图 


9. 评估 报告 生成 
单 击 左 侧 “ 风 险 评估 报告 "链接 ,进入 评估 报告 生成 对 话 框 ,如 图 6-37 所 示 。 单 击 “ 向 


图 6-37 评估 报告 生成 对 话 框 
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导 模 式 ” 按 钮 进入 报告 参数 设 定 。 分 别 需 要 设 定 风 险 评估 报告 的 目的 和 意义 、 风 险 评估 的 
依据 、 风 险 评估 的 责任 单位 和 信息 网 络 安 全 的 风险 等 级 四 个 内 容 。 设 定 完成 后 单 击 “ 快 速 
生成 ?按钮 , 稍 待 片刻 即 可 生成 评估 报告 ,如 图 6-38 所 示 。 注 意 ,生成 评估 报告 时 会 杀 死 
存在 的 Word 进程 ,因此 生成 前 请 保存 并 关闭 打开 的 Word 文档 。 


图 6-38 报告 生成 


10. 计划 任务 设 定 

单 击 左 侧 “ 计 划 任 务 设 定 ” 链 接 可 进入 计划 任务 对 话 框 ,如 图 6-39 所 示 。 在 此 对 话 框 
单 击 下 拉 列 表 选 择 欲 设 定 的 项 目 。 然 后 为 每 一 步骤 选择 计划 结束 时 间 , 单 击 “确定 ”按钮 
进行 保存 。 还 可 以 通过 单 击 “ 建 议 计划 安排 ”按钮 进行 默认 设 定 。 默 认 设 定 为 每 一 个 步 又 
耗 时 五 天 。 


6.4.4 ”技术 测试 人 员 操 作 指南 
技术 测试 人 员 负 责 脆 弱 性 扫描 结果 的 导入 。 
6.4.5 ”管理 核查 人 员 操 作 指 南 


管理 核查 人 员 负 责 管理 核查 问卷 的 生成 。 登 录 后 依次 展开 左 侧 列表 , 单 击 “ 生 成 问 
卷 ” 按 钮 ,进入 问卷 生成 对 话 框 ,如 图 6-40 所 示 。 如 果 没 有 问卷 ,可 以 单 击 “ 生 成 问卷 ” 按 
钮 ,进入 生成 对 话 框 ,如 图 6-41 所 示 。 在 左 侧 选 择 待 生 成 的 问题 类 别 , 单 击 “ 确 定 生 成 ” 按 
钮 即 可 。 

如 果 问 卷 评估 页 面 中 显示 的 是 现在 系统 中 已 经 生成 的 问卷 , 则 可 以 通过 上 方 的 下 拉 
列表 进行 过 滤 , 便 于 一 类 类 地 查看 。 如 果 想 要 重新 生成 , 单 击 “ 重 新 生成 ”按钮 ,进入 重新 
生成 对 话 框 。 
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图 6-39 计划 任务 设 定 对 话 框 
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图 6-40 问卷 生成 对 话 框 
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图 6-41 生成 对 话 杠 


6.4.6 手工 检查 人 员 操 作 指 南 
手工 检查 人 员 按照 测试 表单 对 项 目 进行 手工 检查 。 
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电话 : 010-62770175-4608/4409 邮购 电话 : 010-62786544 


教材 名 称 : 信息 系统 等 级 保护 安全 设计 技术 实现 与 使 用 
ISBN: 978-7-302-21795-4 


年 龄 : 所 在 院 校 /专业 : 

通信 地 址 : 

电子 信箱 : 
您 使 用 本 书 是 作为 ， 口 指定 教材 口 选用 教材 口 辅导 教材 口 自学 教材 
您 对 本 书 封 面 设计 的 满意 度 : 


口 很 满意 口 满意 口 一 般 口 不 满意 ”改进 建议 
您 对 本 书 印刷 质量 的 满意 度 : 
口 很 满意 口 满意 口 一 般 口 不 满意 改进 建议 


您 对 本 书 的 总 体 满意 度 : 

从 语言 质量 角度 看 口 很 满意 口 满意 口 一 般 口 不 满意 
从 科技 含量 角度 看 口 很 满意 口 满意 口 一 般 口 不 满意 
本 书 最 令 您 满意 的 是 : 

口 指导 明确 口内 容 充 实 口 讲解 详尽 口 实例 丰富 

您 认为 本 书 在 哪些 地 方 应 进行 修改 ? (可 附 页 ) 


您 希望 本 书 在 哪些 方面 应 进行 改进 ? 《可 附 页 ) 


电子 教案 支持 


敬爱 的 教师 : 

为 了 配合 本 课程 的 教学 需要 ， 本 教材 配 有 配套 的 电子 教案 (素材 )， 有 需求 的 教师 可 
以 与 我 们 联系 ， 我 们 将 向 使 用 本 教材 进行 教学 的 教师 免费 赠送 电子 教案 (素材 )， 希 望 有 
助 于 教学 活动 的 开展 。 相 关 信 息 请 拨打 电话 010-62776969 或 发 送 电子 邮件 至 
jsijc@tup.tsinghua.edu.cn 咨询 ， 也 可 以 到 清华 大 学 出 版 社 主页 (http://www.tup.com.cn 或 
http://www.tup.tsinghua.edu.cn〉 上 查询 。 


